


( 21 世纪 高 等 学 校 信息 安全 专业 规划 教材 ) 








计算 机 信息 女 全 术 术 
人 215 


@ 付 永 钢 主编 





21 世纪 高 等 学 校 信 息 安全 专业 规划 教材 


计算 机 信息 安全 技术 
(第 2 版 ) 


付 永 钢 主 编 
洪 玉 玲 草 胸 晖 陈 杰 刘 年 生 副 主编 


清华 大 学 出 版 社 


北 京 


内 容 简介 


本 书 对 计算 机 信息 安全 体系 的 各 个 部 分 做 了 完整 的 介绍 ,主要 内 容 包 括 计 算 机 信息 安全 技术 概述 、 密 
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题 ,附录 提供 了 与 部 分 章节 相对 应 的 实验 。 

本 书 可 作为 计算 机 和 通信 专业 本 科 或 专科 学 生 的 计算 机 信息 安全 技术 课程 教材 ,也 可 作为 从 事 信息 
安全 研究 的 工程 技术 人 员 的 参考 用 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 .电子 政务 ,以 及 多 方面 的 网 络 信息 服务 将 深入 到 
人 们 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 
取 , 甚 至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 
国防 领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 来 自 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规范 ,在 
课程 内 容 深浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 麦 、 知 识 覆 盖 不 全 面 等 现象 。 
因此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 专业 教 
学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课程 ,在 此 
基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 架 和 知识 体 
系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专业 的 教 
学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 , 在 教育 部 相关 教学 指导 委员 
会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 全 人 
才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 上 形 
成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 ,工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 以 下 一 些 基 本 组 织 原 则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 、 素 质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 的 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 、 
教学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 .以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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第 2 版 前 言 


随 着 全 球 信息 化 技术 的 快速 发 展 ,在 信息 技术 的 广泛 应 用 中 ,安全 问题 正面 临 着 前 所 未 有 
的 挑战 ,信息 安全 日 渐 成 为 国家 的 一 个 重点 关注 的 研究 领域 ,成 为 关系 着 国计民生 的 一 
个 重要 的 应 用 学 科 。 

目前 因特网 (Internet) 已 遍布 世界 240 个 国家 和 地 区 ,每 时 每 刻 都 为 用 户 提供 着 各 
种 类 型 的 信息 服务 ,除了 最 初 的 电子 邮件 、 万 维 网 外 ,还 出 现 了 越 来 越 多 的 集 视频 、 声 
音 , 数 据 于 一 体 的 服务 。 我 们 的 社会 已 经 是 一 个 高 度 信 息 化 的 社会 ,计算 机 已 经 被 应 用 
到 政治 ,军事 金融、 商业 .电信 教育 等 各 行 各 业 , 人 们 在 日 常生 活 中 对 计算 机 的 依赖 程 
度 越 来 越 高 ,尤其 是 近年 来 国家 实施 的 信息 系统 工程 和 信息 基础 设施 建设 ,已 经 使 计算 
机 系统 成 为 当今 社会 特征 的 一 个 重要 组 成 部 分 。 多 年 来 ,黑客 对 信息 系统 的 攻击 一 直 
都 没有 停止 过 ,其 手段 也 越 来 越 高 明 , 从 最 初 的 猜测 用 户 密码 、 利 用 计算 机 应 用 软件 漏 
洞 进行 攻击 ,发展 到 现在 通过 操作 系统 的 源 代码 分 析 操 作 系 统 漏洞 ,这 无 疑 给 计算 机 信 
息 安 全 带 来 了 更 大 的 威胁 。 

本 书 内 容 由 浅 入 深 ,介绍 计算 机 信息 安全 技术 所 涉及 的 相关 知识 ,阅读 本 书 可 以 了 
解 我 国 计 算 机 信息 系统 的 安全 现状 、 网 络 安全 的 隐患 和 风险 ,以 及 其 给 计算 机 信息 系统 
运行 带 来 的 危害 .具体 的 安全 防护 措施 和 技术 。 

本 书 从 实用 和 新 颖 的 角度 对 内 容 进 行 了 精心 的 挑选 ,具有 以 下 特色 。 

(1) 实用 丰富、 新 颖 的 内 容 。 编 写 基于 一 般 普 通 高 等 院 校 计算 机 专业 信息 安全 技 
术 的 应 用 人 才 培 养 的 需要 ,以 知识 实用 、 丰 富 、 新 颖 为 原则 ,使 学 生 初步 掌握 计算 机 信息 
安全 使 用 技能 ,为 今后 进一步 学 习 、 研 究 信息 安全 技术 打下 坚实 的 基础 。 

本 书 在 有 限 的 篇 幅 中 , 尽 可 能 减少 概念 和 理论 性 的 知识 介绍 ,而 更 加 注重 解决 实际 
问题 ,同时 吸取 目前 已 出 版 的 信息 安全 技术 类 教材 、 论 文 的 精髓 ,充分 反映 计算 机 信息 
安全 领域 的 前 沿 技术 和 成 果 。 

(2) 完整 的 信息 安全 体系 。 目 前 计算 机 信息 安全 研究 的 主要 方向 包括 密码 学 、 计 
算 机 网 络 安全 、 计 算 机 病毒 ,信息 隐藏 .软件 保护 数据 备份 与 恢复 等 方面 ,本 书 力 求 融 
合 信息 安全 研究 的 基础 知识 与 核心 内 容 , 全 面 反映 计算 机 信息 安全 体系 。 通 过 学 习 本 
书 , 既 可 以 了 解 到 信息 安全 的 概貌 ,又 可 以 迅速 掌握 信息 安全 的 基本 技能 。 

(3) 丰富 的 习题 。 为 了 加 深 学 生 对 相关 内 容 的 理解 ,每 章 后 面 都 附 有 难 易 程 度 不 
同 的 习题 ,以 帮助 读者 更 加 深入 和 扎实 地 掌握 相关 知识 。 

本 书 第 3、4、12 章 由 陈 杰 编 写 ,第 9、10 章 由 洪 玉玲 编写 ,第 6.7、11 章 由 曹 风 晖 编 
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写 , 第 2 章 的 第 2. 1 一 2. 3 节 由 刘 年 生 编写 。 付 永 钢 编写 了 其 余 章 节 , 并 对 全 书 进行 了 修改 
和 统 稿 。 

在 本 书 的 编写 过 程 中 ,得 到 了 茅 剑 等 老师 的 帮助 ,在 此 表示 衷心 的 感谢 。 

为 了 配合 本 书 的 教学 工作 ,作者 还 提供 了 配套 的 电子 课件 ,请 在 清华 大 学 出 版 社 网 站 
(www. tup. com. cn) 下 载 ,或 者 通过 电子 邮箱 yonggangfu@jmu. edu. cn 获取 。 本 书 主要 内 
容 的 课堂 授课 需要 50 学 时 左右 ,也 可 根据 教学 对 象 和 教学 目的 进行 删 减 , 建 议 青 安排 一 定 
学 时 的 课外 实验 。 另 外 ,本 书 所 有 截图 来 自 相关 软件 ,未 做 改动 。 

信息 安全 技术 是 一 个 不 断 发 展 和 完善 的 研究 领域 ,由 于 作者 水 平 有 限 , 书 中 错误 和 不 当 
之 处 在 所 难免 , 敬 请 广大 读者 和 专家 批评 指正 。 


作 者 
2017 年 5 月 
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第 1 章 计算 机 信息 安全 技术 概述 


21 世纪 是 信息 技术 快速 发 展 的 一 个 世纪 ,信息 技术 已 经 成 为 一 个 国家 的 政治 .军事 、 经 
济 和 文教 等 事业 发 展 的 决定 性 因素 。 但 是 ,目前 的 网 络 和 信息 传播 途径 中 却 起伏 着 诸多 不 
安全 因素 ,信息 文明 还 面临 着 诸多 威胁 和 风险 ,计算 机 信息 安全 问题 已 成 为 制约 信息 化 发 展 
的 瓶颈 ,是 关系 国家 发 展 的 重要 问题 ,其 重要 性 随 着 全 球 信息 化 进程 的 加 快 而 显得 越 来 越 
重要 。 

本 章 是 计算 机 信息 安全 技术 的 引导 篇 ,主要 介绍 信息 安全 的 基本 概念 、 基 本 原则 、 安 全 
体系 结构 .安全 服务 机 制 、 信 息 安 全 现状 与 展望 等 知识 ,使 读者 掌握 必要 的 信息 安全 基础 知 
识 , 了 解 信息 安全 的 重要 意义 ,提高 信息 安全 意识 。 

随 着 因特网 技术 的 发 展 , 因 特 网 成 为 日 常生 活 中 不 可 或 缺 的 一 部 分 ,人 们 越 来 越 多 地 借 
助 因特网 来 获取 信息 和 知识 。 在 享受 信息 社会 带 来 的 巨大 经 济 利 益 和 娱乐 的 同时 ,计算 机 
信息 安全 问题 日 渐 成 为 人 们 必须 面 对 的 一 个 严峻 的 问题 。 通 过 网 络 ,攻防 双方 可 以 轻易 地 
获得 对 方 的 机 密 , 可 以 自 改 ,破坏 对 方 的 重要 信息 ,破坏 对 方 的 信息 处 理 设备 等 。 因 此 , 随 着 
冷战 的 结束 ,因特网 成 为 又 一 个 看 不 见 硝烟 的 全 球 性 战场 。 

到 目前 为 止 ,因特网 已 经 深入 到 了 生活 中 的 方方面面 ,如 日 常生 活 中 的 银行 .电话 、 购 
物 、 出 行 、 电 力 等 都 严重 依赖 因特网 的 存在 ,现在 已 经 很 难 想象 没有 了 因特网 以 后 ,人 们 的 生 
活 会 变 成 什么 样子 。 随 着 人 们 对 因特网 的 依存 度 逐 渐 提高 ,信息 安全 已 经 成 为 一 个 全 世界 
性 的 现实 问题 ,信息 安全 与 国家 的 政治 稳定 .军事 安全 、 经 济 发 展 . 民 族 兴衰 等 都 息息相关 ， 
提高 国家 信息 安全 体系 的 保障 能 力 已 成 为 各 国政 府 优先 考虑 的 战略 问题 。 在 我 国 的 “十 一 
五 ”规划 中 ,信息 安全 是 作为 一 项 重要 的 研究 课题 来 进行 攻关 的 内 容 。 

对 每 个 普通 民众 来 讲 , 信 息 安全 问题 同样 严峻 ,每 个 人 的 重要 数据 存储 在 硬盘 设备 上 ， 
可 能 会 因 操作 不 当 或 计算 机 病毒 .恶意 软件 攻击 等 瞬间 化 为 乌有 。 我 们 的 计算 机 系统 有 可 
能 在 毫 无 察觉 的 情况 下 被 破坏 而 无 法 运行 ,有 时 被 别人 利用 ,成 为 攻击 、 破 坏 其 他 计算 机 系 
统 的 工具 ,甚至 成 为 犯罪 的 工具 。 


1.1 计算 机 信息 安全 的 威胁 因素 


计算 机 系统 是 用 于 信息 存储 、 信 息 加 工 的 设施 。 从 技术 的 角度 来 看 ,因特网 的 不 安全 因 
素 是 : 一 方面 由 于 它 是 面向 所 有 用 户 的 ,所 有 资源 通过 网 络 共享 ; 另 一 方面 , 它 的 技术 是 开 
放 和 标准 的 。 因 此 ,尽管 因特网 已 从 过 去 用 于 科研 和 学 术 目 的 阶段 进入 到 商用 阶段 ,但 是 它 
的 技术 基础 仍 是 不 安全 的 。 从 一 般 意义 上 来 说 ,计算 机 系统 一 般 是 指 具体 的 计算 机 系统 ,但 
有 时 也 用 计算 机 系统 来 表示 一 个 协作 处 理 信 息 的 内 部 网 络 。 计 算 机 系统 面临 着 各 种 各 样 的 
威胁 ,这 些 威 胁 大 致 可 以 分 为 以 下 3 个 方面 。 

(1) 直接 对 计算 机 系统 的 硬件 设备 进行 破坏 。 
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(2) 对 存放 在 系统 存储 介质 上 的 信息 进行 非法 获取 、 算 改 和 破坏 。 

(3) 在 信息 传输 过 程 中 对 信息 非法 获取 、 算 改 和 破坏 。 

从 形式 上 来 讲 , 自 然 灾 害 ,意外 事故 .计算 机 犯罪 、 人 为 行为 .黑客 行为 ,内 部 泄密 、 外 部 
泄密 、 信 息 丢 失 、 电 子 谍 报 、 信 息 战 .网 络 协 议 中 的 缺陷 等 ,都 是 威胁 网 络 安全 的 重要 因素 。 
从 人 为 的 因素 来 考虑 ,影响 信息 安全 的 因素 还 存在 着 人 为 和 非 人 为 的 两 种 情况 。 影 响 计算 
机 信息 安全 的 因素 很 多 ,这 些 因 素 可 以 分 为 以 下 几 类 。 

(1) 人 为 的 无 意 失 误 。 操 作 员 使 用 不 当 , 安 全 配置 不 规范 造成 的 安全 漏洞 ,用 户 安全 意 
识 不 强 , 选 择 用 户口 令 不 慎 , 将 自己 的 账号 随意 转告 他 人 或 与 别人 共享 等 情况 ,都 会 对 网 络 
安全 构成 威胁 。 

(2) 人 为 的 恶意 攻击 。 此 类 攻击 可 以 分 为 两 种 : 一 种 是 主动 攻击 , 它 的 目的 在 于 算 改 
系统 中 所 含 的 信息 ,或 者 改变 系统 的 状态 和 操作 , 它 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 
性 、 完 整 性 和 真实 性 ; 另 一 种 是 被 动 攻击 , 它 在 不 影响 网 络 正常 工作 的 情况 下 ,进行 信息 的 
截获 和 窃取 ,分 析 信息 流量 ,并 通过 信息 的 破译 获得 重要 机 密 信息 , 它 不 会 导致 系统 中 信息 
的 任何 改动 ,而且 系 统 的 操作 和 状态 也 不 会 被 改变 ,因此 被 动 攻击 主要 威胁 信息 的 保密 性 。 
这 两 种 攻击 均 可 对 网 络 安全 造成 极 大 的 危害 ,并 导致 机 密 数据 的 泄露 。 

(3) 计算 机 软件 的 漏洞 和 后 门 。 计 算 机 软件 从 规模 和 技术 上 来 讲 , 不 可 能 百分之百 无 
缺陷 和 无 漏洞 ,如 广为人知 的 TCP/IP 协议 的 安全 问题 等 。 然 而 ,这 些 漏洞 和 缺陷 恰恰 是 黑 
客 进 行 攻击 的 首选 目标 。 导 致 黑客 频频 攻 和 人 计算 机 系统 内 部 的 主要 原因 就 是 相应 系统 和 应 
用 软件 本 身 的 脆弱 性 和 安全 措施 的 不 完善 。 另 外 ,软件 在 设计 之 初 , 某 些 编程 人 员 为 了 方便 
而 设置 的 软件 “后 门 ”, 虽 然 通常 都 不 为 外 人 所 知 , 但 一 旦 后 门洞 开 , 将 使 黑客 对 计算 机 系统 
资源 的 非法 使 用 成 为 可 能 。 

虽然 人 为 因素 和 非 人 为 因素 都 可 以 对 网 络 安全 构成 威胁 ,但 相对 物理 实体 和 硬件 系统 
及 自然 灾害 而 言 ,精心 设计 的 人 为 攻击 对 计算 机 的 信息 安全 威胁 最 大 ,因为 人 为 因素 最 为 复 
杂 , 人 的 思想 最 为 活跃 ,不 可 能 完全 用 静止 的 方法 和 法 律 ,法规 加 以 防护 ,这 是 计算 机 信息 安 
全 所 面临 的 最 大 威胁 。 

要 保证 信息 安全 ,就 必须 设法 在 一 定 程度 上 克服 以 上 种 种 威胁 ,学 会 识别 这 些 破坏 手 
段 , 以 便 采 取 技 术 、 管 理 和 法 律 制约 等 方面 的 努力 ,确保 网 络 的 安全 。 需 要 指出 的 是 ,无 论 采 
用 哪 种 防范 措施 ,都 不 可 能 保证 计算 机 信息 的 绝对 安全 。 安 全 是 相对 的 ,不 安全 才 是 绝 
对 的 。 


1.2 信息 安全 的 含义 


安全 的 本 意 是 采取 保护 措施 ,防止 来 自 攻击 者 有 意 或 无 意 的 破坏 。 信 息 安全 是 一 个 随 
着 历史 发 展 ,其 内 涵 不 断 丰富 的 概念 。 在 20 世纪 60 一 70 年 代 , 军 事 通信 提出 了 通信 保密 的 
需求 , 即 必 须 考虑 秘密 消息 在 传送 途中 被 除 发 信者 和 收 信者 以 外 的 第 三 者 (特别 是 敌 方 ) 截 
获 的 可 能 性 ,使 截获 者 即使 截获 信息 ,也 无 法 得 到 其 中 的 信息 内 容 , 在 这 里 ,信息 安全 只 具有 
信息 保密 的 含义 。 到 了 20 世纪 80 一 90 年 代 , 信 息 安 全 不 仅 指 机 密 性 , 它 还 包含 完整 性 和 可 
用 性 ,俗称 CIA。C 代表 机 密 性 (Confidentiality) , 即 保证 信息 为 授权 者 拥有 而 不 泄露 给 未 
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经 授权 者 。I 代表 完整 性 (Integrity) , 它 包 含 两 方面 的 含义 : 一 是 数据 完整 性 , 即 数据 未 被 
非 授 权 者 算 改 或 损坏 ; 二 是 系统 完整 性 , 即 系统 未 被 非 授 权 者 操纵 , 按 既 定 的 功能 运行 。A 
代表 可 用 性 (Availability) , 即 保证 信息 和 信息 系统 随时 为 授权 者 提供 服务 ,而 不 要 出 现 非 授 
权 者 滥用 却 对 授权 者 拒绝 服务 的 情况 。 除 了 CIA 这 3 个 基本 方面 外 ,信息 安全 的 其 他 含义 
还 有 不 可 否认 性 (Non-Repudiation) 鉴别 性 (Authentication)、 审 计 性 (Accountability)、 可 
靠 性 (Reliability) 等 。 不 可 否认 性 , 即 要 求 无 论 发 送 方 还 是 接收 方 都 不 能 抵赖 所 进行 的 传 
输 。 鉴 别 性 就 是 确认 实体 是 它 所 声明 的 , 它 是 用 于 用 户 、 进 程 、 系 统 、 信 息 等 。 审 计 性 确保 实 
体 的 活动 可 以 被 跟踪 。 可 靠 性 指 的 是 特定 行为 和 结果 得 以 执行 。 信 息 安 全 需求 的 多 样 化 决 
定 了 信息 安全 含义 的 多 样 性 。 

一 般 认 为 ,安全 的 信息 交换 应 该 满足 的 5 个 基本 特征 是 机 密 性 、 完 整 性 .不 可 否认 性 、 鉴 
别 性 和 可 用 性 。 

理想 的 信息 安全 是 要 保护 信息 及 承载 信息 的 系统 免 受 各 种 攻击 的 伤害 。 这 种 类 型 的 保 
护 经 常 是 无 法 实现 的 或 实现 的 代价 太 大 。 进 一 步 的 研究 表明 ,信息 或 信息 系统 在 受到 攻击 
的 情况 下 ,只 要 有 合适 的 检测 方法 能 发 现 攻击 ,就 可 以 作出 恰当 的 响应 (如 发 现 网 络 攻 击 行 
为 后 ,切断 网 络 连接 ) ,对 攻击 造成 的 灾难 进行 恢复 (如 对 数据 进行 备份 恢复 ) ,检测 ,恢复 是 
重要 的 补救 措施 。 检 测 可 以 看 成 是 一 种 应 急 恢 复 的 先行 步骤 ,其 后 才 进 行 数据 和 信息 恢复 。 
因此 ,信息 安全 的 保护 技术 可 以 分 为 三 类 : 防护 .检测 和 恢复 。 

实际 上 ,信息 及 信息 系统 的 安全 与 人 、 应 用 及 相关 计算 环境 紧密 相关 ,不 同 场合 对 信息 
的 安全 有 不 同 的 需求 。 例 如 ,电子 合同 的 签署 要 求 具有 不 可 抵赖 性 ,而 电子 货币 的 安全 又 要 
求 不 可 追踪 性 ,这 两 者 是 截然 相反 的 要 求 。 又 如 ,有 人 可 能 认为 把 文件 放 到 公共 目录 服务 器 
上 是 安全 的 ,而 另外 一 些 人 则 可 能 认为 将 文件 保存 到 自己 的 计算 机 上 还 需要 口令 保护 才 是 
安全 的 ,这 种 人 们 在 特定 应 用 环境 下 对 信息 安全 的 要 求 称 为 安全 策略 。 

综 上 分 析 , 信 息 安全 可 以 按 以 下 进行 定义 : 信息 安全 是 研究 在 特定 应 用 环境 下 ,依据 特 
定 的 安全 策略 ,对 信息 及 信息 系统 实施 防护 、 检 测 和 恢复 的 科学 。 

该 定义 明确 了 信息 安全 的 保护 对 象 、 保 护 目 标 和 方法 。 在 国家 标准 《信息 系统 安全 
等 级 保护 基本 要 求 )(GB/T 22239 一 2008) 中 指出 ,信息 系统 安全 需要 从 技术 和 管理 两 个 
方面 来 实现 ,基本 技术 要 求 分 为 五 大 类 : 物理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 和 数据 
安全 。 


1.3 计算 机 信息 安全 的 研究 内 容 


从 目前 计算 机 信息 安全 的 威胁 和 相关 技术 标准 来 看 ,计算 机 信息 安全 技术 研究 的 内 
容 应 该 包括 3 个 方面 : 一 是 计算 机 外 部 安全 ; 二 是 计算 机 信息 在 存储 介质 上 的 安全 ,有 
时 也 称 为 计算 机 内 部 安全 ; 三 是 计算 机 信息 在 传输 过 程 中 的 安全 ,也 称 为 计算 机 网 络 
安全 。 


1.3.1 计算 机 外 部 安全 
计算 机 外 部 安全 包括 计算 机 设备 的 物理 安全 与 信息 安全 有 关 的 规章 制度 的 建立 和 法 律 
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法 规 的 制定 等 , 它 是 保证 计算 机 设备 正常 运行 ,确保 系统 安全 的 重要 前 提 。 

从 前 面 的 分 析 可 以 看 出 ,信息 安全 的 保障 不 仅仅 是 技术 问题 ,而 应 该 是 人 、 政 策 和 技术 
3 大 要 素 的 紧密 结合 体 。 一 个 完整 的 国家 信息 安全 保障 体系 应 包括 信息 安全 法 制 体系 、 组 
织 管理 体系 、 基 础 设施 技术 保障 体系 、 经 费 保障 体系 和 安全 意识 教育 人 才 培 养 体系 。 一 个 
简单 的 说 法 是 : 要 保障 信息 安全 ,三 分 靠 技术 ,七 分 靠 管理 。 足 见 管理 在 信息 安全 中 的 地 位 
和 作用 。 信 息 安全 管理 的 原则 体现 在 政府 制定 的 政策 法 规 和 机 构 部 门 制定 的 规范 制度 上 ， 
同时 ,信息 安全 技术 蓬勃 发 展 , 形 成 了 一 个 新 的 产业 ,规模 化 的 信息 安全 产业 发 展 需要 技术 
标准 来 规范 信息 系统 的 建设 和 使 用 ,生产 出 满足 社会 广泛 需求 的 安全 产品 。 

1. 安全 规章 制度 

计算 机 安全 和 密码 使 用 是 信息 安全 的 两 个 重要 方面 ,有 关 政 策 法 规 也 因此 分 为 这 两 部 
分 。 在 信息 安全 的 早期 阶段 ,立法 和 管理 的 重点 集中 在 计算 机 犯罪 方面 ,各 国 陆续 围绕 着 计 
算 机 犯罪 等 问题 建立 了 一 些 安 全 法 规 , 之 后 ,立法 的 热点 转移 到 密码 的 使 用 管理 方面 。 美 国 
的 信息 技术 具有 领先 水 平 , 其 安全 法 规 也 最 为 完善 。 早 在 1998 年 ,美国 颁发 第 63 号 总 统 
令 , 要 求 行政 部 门 评 估 国 家 关键 基础 设施 的 计算 机 脆弱 性 ,并 要 求 联邦 政府 制定 保卫 国家 免 
受 计算 机 破坏 的 详细 计划 , 紧 接 着 于 2000 年 1 月 颁布 了 《保卫 美国 计算 机 空间 一 一 信息 系 
统 保护 国家 计划 1. 0》, 这 是 一 个 规划 美国 计算 机 安全 持续 发 展 和 更 新 的 综合 方案 。 俄 罗斯 
于 1995 年 颁布 了 《联邦 信息 、 信 息 化 和 信息 保护 法 》, 法 规 明 确 界定 了 信息 资源 开放 和 保密 
的 范畴 ,提出 了 保护 信息 的 法 律 责任 ,2000 年 ,普京 总 统 批准 了 《国家 信息 安全 学 说 》, 明 确 
了 俄罗斯 联邦 信息 安全 建设 的 目的 人物 .原则 和 主要 内 容 。 其 他 国家 ,如 英国 法国、 日 本 
等 也 制定 了 相应 的 计算 机 安全 政策 法 规 。 

关于 密码 使 用 的 政策 ,涉及 使 用 密码 进行 加 密 和 进行 数字 签名 实施 证 书 授权 管理 两 个 
方面 。 美国 是 最 早 允 许 在 国内 社会 上 使 用 密码 的 国家 ,美国 国内 ,政府 、 军 界 、 企 业 和 个 人 为 
了 各 自 的 利益 ,围绕 信息 加 密 政策 的 争论 颇 多 ,主要 是 密码 的 使 用 范围 和 人 允许 出 口 的 长 度 。 
此 后 ,包括 中 国 香港 在 内 的 多 个 国家 和 地 区 都 分 别 制定 了 自己 的 信息 加 密 政策 。 

对 于 数字 签名 技术 ,有 关 国 际 组 织 、 各 国政 府 和 企业 为 了 各 自 的 利益 ,很 难 达 成 一 致 的 
观点 。1995 年 ,美国 犹他 州 通过 了 美国 历史 上 也 是 世界 历史 上 第 一 部 数字 签名 法 。 在 犹他 
州 的 带动 下 ,美国 的 其 他 州 也 确立 了 自己 的 数字 签名 法 ,但 美国 联邦 政府 迟 迟 没有 立法 , 德 
国有 幸 成 为 第 一 个 以 国家 名 义 制定 数字 签名 法 的 国家 。 

我 国 建立 了 以 下 国家 信息 安全 组 织 管理 体系 : 国务 院 信 息 化 领导 小 组 对 Internet 安 
全 中 的 重大 问题 进行 管理 协调 ,国务 院 信 息 化 领导 小 组 办 公 室 作为 Internet 安全 工作 的 
办 事 机 构 ,负责 组 织 .协调 和 制定 有 关 Internet 安全 的 政策 法规 和 标准 ,并 检查 监督 其 执 
行 。 政 府 有 关 信息 安全 的 其 他 管理 和 执法 部 门 分 别 依据 其 职能 和 权限 进行 信息 安全 的 
管理 和 执法 活动 。 工 业 和 信息 化 部 协调 有 关 部 委 关 于 信息 安全 的 工作 ; 公安 部 主管 公 
共 网 络 安全 , 即 全 国 计 算 机 系统 安全 保护 工作 ; 国家 安全 部 主管 计算 机 信息 网 络 国际 
联网 的 国家 安全 保护 管理 工作 ; 国家 保密 局 主管 全 国 计 算 机 信息 系统 的 保密 工作 ; 国 
家 密码 管理 局 主管 密码 算法 与 设备 的 审批 和 使 用 工作 ; 国务 院 新 闻 办 公 室 负责 信息 内 
容 的 监察 。 

我 国信 息 安全 管理 的 基本 方针 是 “ 兴 利 除 整 ,集中 监控 ,分 级 管理 ,保障 国家 安全 ”。 对 
于 密码 管理 的 政策 实行 “统一 领导 、 集 中 管理 ,定点 研制 专 控 经 营 、 满 足 使 用 ”的 发 展 和 管理 





第 1 章 计算 机 信息 安全 技术 概述 5 





方针 。 

相对 国外 网 络 立 法 的 情况 ,我国 目前 的 信息 化 立法 ,尤其 是 信息 安全 立法 尚 处 于 起 步 阶 
段 。 我 国政 府 和 法 律 界 都 清醒 地 认识 到 这 一 问题 的 重要 性 ,正在 积极 推进 这 一 方面 的 工作 。 
我 国 现 有 的 信息 安全 政策 法 规 可 以 分 为 两 个 层次 : 一 是 法 律 层次 ,从 国家 宪法 和 其 他 部 门 
法 的 高 度 对 个 人 、 法 人 和 其 他 组 织 涉及 国家 安全 的 信息 活动 的 权利 和 义务 进行 规范 ; 二 是 
行政 法 规 和 规章 层次 ,直接 约束 计算 机 安全 和 Internet 安全 ,对 信息 内 容 、 信 息 安全 技术 和 
信息 安全 产品 的 授权 审批 进行 规定 。 其 中 ,第 一 个 层次 上 的 法 律 主要 有 宪法 、 刑 法、 国家 安 
全 法 和 国家 保密 法 ,第 二 个 层次 上 的 行政 法 规 和 规章 主要 包括 (中华 人民 共和 国 计 算 机 信息 
系统 安全 保护 条 例 兴 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 互联 网 管理 暂行 规定 兴 中 华人 民 
共和 国 计 算 机 信息 网 络 国际 互联 网 安全 保护 管理 办 法 兴 电 子 出 版 物 管理 暂行 规定 兴 中 国 互 
联网 域名 注册 暂行 管理 办 法 》 和 《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 
法 ) 等 条 例 和 法 规 。 

2. 防 电磁 波 辐射 


在 计算 机 外 部 安全 中 ,计算 机 防 电磁 波 辐射 也 是 一 个 重要 问题 。 它 包含 两 个 方面 的 内 
容 : 一 是 计算 机 系统 受到 外 界 电 磁场 的 干扰 ,使 得 计算 机 系统 不 能 正常 工作 ; 二 是 计算 机 
系统 本 身 产生 的 电磁 波 包含 有 用 信号 ,造成 信息 泄露 ,为 攻击 者 提供 了 信息 窃取 的 可 能 。 

1985 年 ,荷兰 一 位 无 线 电 技 术 人 员 Wim Van Eck 发 布 了 一 篇 非 涉 密 的 计算 机 显示 器 
安全 威胁 类 的 分 析 文 章 ,文章 在 保密 组 织 中 引起 了 极 大 的 恐慌 。Wim Van Eck 成 功 地 通过 
在 常规 电视 中 加 入 一 个 仅仅 价值 15 美元 的 电子 设备 ,于 数 百 米 外 窃取 了 一 套 真实 系统 中 的 
信息 。 研 究 表明 ,不 仅仅 计算 机 的 显示 屏 能 辐射 电磁 波 ,其 他 外 部 设备 如 键盘 、 磁 盘 和 打印 
机 等 设备 在 工作 过 程 中 同样 也 会 辐射 电磁 波 ,造成 信息 泄露 。 

针对 这 个 问题 ,美国 国家 安全 局 与 美国 国防 部 联合 研究 和 开发 了 一 种 称 为 TEMPEST 
(Transient Electromagnetic Pulse Emanation Surveillance Technology) 的 技术 。 该 技术 的 
主要 目的 是 防止 计算 机 系统 中 因 电磁 辐射 而 产生 的 信息 泄密 ,这 是 信息 安全 保密 的 一 个 专 
门 研究 领域 。TEMPEST 技术 包括 对 信息 设备 的 发 射 信号 中 所 携带 的 敏感 信息 进行 分 析 、 
测试 接收、 还 原 及 防护 等 一 系列 技术 。 

目前 对 电磁 信息 安全 防护 的 主要 措施 有 使 用 低 辐 射 设备 、 利 用 噪声 干扰 源 .电磁 屏蔽 、 
滤波 技术 和 光纤 传输 。 

(1) 使 用 低 辐射 设备 。 低 辐射 设备 即 TEMPEST 设备 ,是 防 辐射 泄露 的 根本 措施 。 这 
些 设 备 在 设计 和 生产 时 就 采取 了 防 辐射 措施 ,把 设备 的 电磁 泄露 抑制 到 最 低 限 度 。 此 外 , 显 
示 器 是 计算 机 安全 的 一 个 薄弱 环节 ,对 显示 器 的 内 部 进行 窃取 已 经 是 一 项 成 熟 的 技术 ,因此 
选用 低 辆 射 显 示 器 十 分 重要 ,如 单 色 显示 器 辐射 低 于 彩色 显示 器 辐射 ,等 离子 显示 器 和 液晶 
显示 器 也 能 进一步 降低 辐射 。 

(2) 利用 噪声 干扰 源 。 电 磁 辐 射 干 扰 技术 就 是 采用 干扰 器 对 计算 机 辐射 进行 电磁 干 
扰 , 使 窃听 方 难以 提取 有 用 信息 。 利 用 噪声 干扰 源 有 两 种 方法 : 一 是 将 一 台 能 产生 噪声 的 
干扰 器 放 在 计算 机 设备 旁边 ,干扰 器 产生 的 噪声 与 计算 机 设备 产生 的 信息 辆 射 一 起 向 外 辆 
射 ,使 计算 机 设备 产生 的 辐射 不 易 被 接收 复 现 .干扰 器 产生 的 电磁 辐射 不 应 超过 EMI 标准 。 
二 是 将 处 理 重 要 信息 的 计算 机 放 在 中 间 , 四 周 放 一 些 处理 一 般 信息 的 设备 ,让 这 些 设备 产 生 
的 电磁 泄露 一 起 向 外 辐射 。 
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(3) 电磁 屏蔽 。 屏 蔽 技术 是 将 计算 机 设备 置 于 屏蔽 室 中 ,达到 防止 电磁 辐射 的 目的 。 
该 技术 是 所 有 防 辆 射 技术 手段 中 最 为 可 靠 的 一 种 。 屏 项 技术 还 可 以 使 用 防 信息 泄露 玻璃 。 
防 信息 泄露 玻璃 装 在 电子 设备 显示 窗 上 ,可 以 解决 显示 窗 信息 泄露 问题 。 有 统计 测试 表明 ， 
如 果 电 磁 波 辐射 量 是 100% ,那么 放置 防 信息 泄露 玻璃 可 以 将 89% 的 信息 通过 地 线 导 入 地 
下 ,再 将 10% 的 信息 反射 掉 , 剩 下 的 漏网 信号 不 足 1% ,这 就 无 法 还 原 成 清晰 完整 的 信息 ,从 
而 达到 保密 目的 。 

(4) 滤波 技术 。 滤 波 技术 是 对 屏蔽 技术 的 一 种 补充 。 被 屏蔽 的 设备 和 元 器 件 并 不 能 完 
全 密封 在 屏蔽 体内 , 仍 有 电源 线 、 信 号 线 和 公共 地 线 需 要 与 外 界 连接 。 因 此 ,电磁 波 还 是 可 
以 通过 传导 或 辐射 从 外 部 传 到 屏蔽 体内 ,或 者 从 屏蔽 体内 传 到 外 部 。 采 用 滤波 技术 ,只 人 允许 
某 些 频率 的 信号 通过 ,而 阻止 其 他 频率 范围 的 信号 ,从 而 起 到 滤波 作用 。 

(5) 光纤 传输 。 光 纤 传 输 是 一 种 新 型 的 通信 方式 ,光纤 为 非 导体 ,可 直接 穿 过 屏蔽 体 ， 
不 附加 滤波 器 ,也 不 会 引起 信息 泄露 。 光 纤 内 传输 的 是 光 信 号 ,不 仅 能 量 损耗 小 ,而 且 不 存 
在 电磁 信息 泄露 问题 。 预 计 未 来 若干 年 内 还 不 可 能 从 光纤 外 部 窃取 并 还 原 信号 。 


1.3.2 计算 机 内 部 安全 


计算 机 内 部 安全 是 计算 机 信息 在 存储 介质 上 的 安全 ,包括 计算 机 软件 保护 、 软 件 安全 、 
数据 安全 等 。 计 算 机 内 部 安全 的 研究 内 容 非常 广泛 ,包括 软件 的 防盗 ,操作 系统 的 安全 , 磁 
盘 上 的 数据 防 破坏 、 防 窃取 ,以 及 磁盘 上 的 数据 备份 与 恢复 等 。 

由 于 磁盘 容量 大 , 存 取 数据 方便 ,因此 磁盘 是 目前 存放 计算 机 信息 最 常用 的 载体 。 但 由 
于 磁性 介质 都 具有 剩 磁 效 应 现象 ,保存 在 磁性 存储 介质 中 的 数据 可 能 会 使 存储 介质 永久 性 
磁化 ,因此 保存 在 磁性 介质 上 的 信息 可 能 会 擦 除 不 尽 , 永 久 地 保留 在 磁盘 上 。 因 此 对 于 一 些 
重要 的 信息 ,尽管 已 经 使 用 擦 除 软 件 等 手段 擦 除 信息 ,但 如 果 擦 除 不 彻底 ,就 会 在 磁盘 上 留 
下 重要 信息 的 痕迹 ,一 旦 被 别人 利用 ,通过 使 用 高 灵敏 度 磁头 和 放大 器 就 可 以 将 磁盘 上 的 信 
息 还 原 出 来 ,造成 机 密 信息 的 泄露 。 

另外 ,在 计算 机 操作 系统 中 ,使 用 类 似 格式 化 命令 format 或 删除 命令 del 时 ,仅仅 能 破 
坏 或 删除 文件 的 目录 结构 和 文件 指针 等 信息 ,磁盘 上 的 原 有 文件 内 容 仍然 原封 不 动 地 保留 
在 磁盘 中 ,只 要 不 在 磁盘 中 重新 存放 数据 ,使 用 unformat 等 方法 就 可 以 非常 完整 地 将 磁盘 
上 的 数据 恢复 出 来 。 在 Windows 操作 系统 中 甚至 可 以 从 回收 站 找 回 被 删除 的 数据 ,利用 这 
些 就 可 以 窃取 重要 的 机 密 信息 。 


1.3.3 计算 机 网 络 安全 


计算 机 网 络 安 全 是 指 计算 机 信息 在 传输 过 程 中 通过 庞大 的 计算 机 网 络 系统 交换 数据 
的 同时 确保 信息 的 完整 性 、 可 靠 性 和 保密 性 。Internet 为 世界 各 地 的 人 们 交换 信息 提供 
了 巨大 便利 ,同时 也 为 世界 上 的 各 类 犯罪 分 子 打 开 了 方便 之 门 。 计 算 机 网 络 已 经 成 为 攻 
击 、 破 坏 和 获取 情报 的 重要 工具 ,可 以 说 ,计算 机 网 络 安全 问题 是 计算 机 安全 中 最 严重 的 
问题 ,一 直 受 到 人 们 的 广泛 关注 。 

建立 网 络 信 息 安全 保障 体系 可 以 采用 边界 防卫 、 入 侵 检测 和 安全 反应 等 技术 来 构成 。 

(1) 边界 防卫 。 边 界 防卫 技术 通常 将 安全 边界 设 在 需要 保护 的 信息 周边 ,重点 阻止 病 
毒 人 侵 、 黑 客 攻 击 、 冒 名 顶 蔡 线路 窃听 等 试图 越界 的 行为 。 相 关 的 技术 包括 数据 加 密 、 数 据 
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完整 性 检查 防火墙 .访问 控制 和 公正 仲裁 等 。 

(2) 入 侵 检测 。 入 侵 检 测 技术 是 指 通过 对 行为 安全 日 志 或 审计 数据 ,以 及 其 他 网 络 上 
可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 入 侵 或 入侵 企图 的 技术 。 入 侵 检 测 是 检测 和 响 
应 计算 机 误 用 的 学 科 , 其 作用 包括 威慑 、 检 测 、 响 应 、 损 失 情 况 评估 、 攻 击 预 测 和 起 诉 支持 。 
入 侵 检 测 技术 是 基于 入 侵 者 的 攻击 行为 ,与 合法 用 户 的 正常 行为 有 着 明显 的 不 同 。 

(3) 安全 反应 。 安 全 反应 技术 是 将 破坏 所 造成 的 损失 降低 到 最 小 限度 的 技术 ,安全 的 
网 络 信息 系统 必须 具备 在 被 攻陷 后 能 迅速 恢复 的 能 力 。 其 中 分 布 式 动态 备份 技术 与 方法 、 
动态 漂移 与 伪装 技术 、 各 种 灾难 恢复 技术 、 防 守 反 击 技术 都 是 目前 正在 研究 的 技术 。 

由 此 可 见 , 计 算 机 信息 安全 技术 的 研究 内 容 十 分 广泛 ,包括 电子 学 计算机 硬件 设计 、 计 
算 机 软件 设计 密码 学 ,数学 信息论、 社会 学 、 法 学 等 ,是 跨 多 学 科 的 综合 性 研究 技术 。 它 不 
仅 涉 及 国家 的 政治 、 经 济 和 军事 等 重要 部 门 ,还 与 人 们 的 日 常生 活 息息相关 ,对 现代 文明 社 
会 将 产生 重大 影响 。 


1.4 信息 安全 模型 


1.4.1 通信 安全 模型 


经 典 的 通信 安全 模型 如 图 1. 1 所 示 。 通 信 一 方 通过 公开 信道 将 消息 传送 给 另 一 方 ,要 
保护 信息 传输 的 机 密 性 、 真 实 性 等 特性 ,就 涉及 通信 和 安全。 通信 的 发 送 方 要 对 信息 进行 相关 
的 安全 变换 ,可 以 是 加 密 、 签 名 ,接收 方 接收 后 ,再 进行 相关 的 逆 变 换 , 如 解密 、 验 证 \ 签 名 等 。 
双方 进行 的 安全 变换 通常 需要 使 用 一 些 秘密 信息 ,如 加 密 密 钥 、 解 密 密 钥 等 。 根 据 上 述 安 全 
模型 ,设计 安全 服务 需要 完成 以 下 4 个 基本 任务 。 

(1) 设计 一 个 算法 ,执行 安全 相关 的 转换 ,算法 应 具有 足够 的 安全 强度 。 

(2) 生成 该 算法 所 使 用 的 秘密 信息 ,也 就 是 密 钥 。 

(3) 设计 秘密 信息 的 分 布 与 共享 的 方法 ,也 就 是 密 钥 的 分 配方 案 。 

(4) 设 定 通信 双方 使 用 的 安全 协议 ,该 协议 利用 密码 算法 和 密 钥 实 现 安全 服务 。 












































密 钥 
4 
发 送 方 接收 方 
公开 
全 变 换 [去 1 。 红 [ 友 全 变换 
息 ? | 注 f | 者 一 一 仿 一 | 电 
息 息 
密 钥 
密 钥 攻击 者 


图 1.1 经 典 的 通信 安全 模型 
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1.4.2 信息 访问 安全 模型 


还 有 一 些 与 安全 相关 的 情形 不 完全 适用 于 上 述 模型 , William Stallings 给 出 了 如 
图 1.2 所 示 的 信息 访问 安全 模型 。 该 模型 希望 保护 信息 系统 不 受 有 害 的 访问 。 有 害 的 
访问 分 为 两 种 : 一 种 有 害 的 访问 是 由 黑客 发 起 的 ,他 们 有 时 并 没有 恶意 ,只 是 满足 于 冯 人 和 人 
计算 机 系统 ,展示 自己 的 技术 水 平 或 利用 计算 机 技术 进行 获 利 ; 另 一 种 有 害 的 访问 来 源 
于 恶意 软件 ,如 病毒 .木马 .蠕虫 等 。 对 付 有 害 攻击 所 需要 的 安全 服务 包含 鉴别 和 访问 控 
制 两 类 。 


Ts 

NE 计算 机 资源 

攻击 者 访问 通道 数据 
软件 


内 部 安全 控制 








鉴别 措施 
图 1.2 信息 访问 安全 模型 


1.4.3 动态 安全 模型 


基于 上 述 模 型 的 安全 措施 都 属于 静态 的 预防 和 防护 措施 , 它 通过 采用 严格 的 访问 控制 

和 数据 加 密 策略 来 提供 防护 。 但 在 复杂 系统 中 ,这 些 策略 是 不 充分 的 。 随 着 全 球 计算 机 和 

信息 系统 的 网 络 化 ,信息 系统 所 面临 的 安全 问题 也 发 生 了 很 大 变化 。 任 何人 可 以 在 任何 地 

方 、 任 何 时 间 向 任何 一 个 目标 发 起 攻击 ,而 且 我 们 的 系统 还 要 同时 面临 来 自 外 部 .内 部 .自然 

等 多 方面 的 威胁 。 

信息 环境 是 一 个 动态 的 和 变化 的 环境 ,面临 着 信息 业务 的 不 断 发 展 变化 .业务 竞争 环境 

的 变化 、 信 息 技术 和 安全 技术 (包括 攻击 技术 ) 的 飞速 发 展 。 同 时 系统 自身 也 在 不 断 变化 ,如 

人 员 流 动 . 软 硬件 系统 不 断 更 新 升级 等 。 总 之 ,要 面 对 这 样 一 个 动态 的 系统 ,动态 的 环境 , 必 

须要 用 动态 的 安全 模型 .方法 .技术 和 解决 方案 来 应 对 安全 问题 。 在 这 种 形势 下 ,著名 的 计 

算 机 安全 公司 (Internet Security Systems Inc. ) 提出 了 PPDR(Policy Protection Detection 
Response) 安 全 模型 ,该 模型 如 图 1. 3 所 示 。 

PPDR 模型 由 4 个 主要 部 分 组 成 : 安全 策略 (Policy) .防护 (Protection) 检测 (Detection) 和 

响应 (Response) 。PPDR 模型 是 在 整体 的 安全 策略 的 控制 和 指 

导 下 ,综合 运用 防护 工具 (如 防火 墙 、 身份 认证 、 加 密 等 ) 的 同 

时 ,利用 检测 工具 (如 漏洞 评估 、 入 侵 检 测 系统 ) 了 解 和 评估 系 

过 统 的 安全 状态 ,通过 适当 的 安全 响应 将 系统 调整 到 一 个 比较 安 


入 全 的 状态 。 防护 ,检测 和 响应 组 成 了 一 个 完整 的 动态 的 安全 
循环 。 
2 安全 策略 是 这 个 模型 的 核心 ,意味 着 网 络 安全 要 达到 的 目 


标 ,以 及 决定 各 种 措施 的 强度 。 
图 1.3 PPDR 安全 模型 防护 是 安全 的 第 一 步 ,包括 以 下 几 方 面 。 
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(1) 制定 安全 规章 (以 安全 策略 为 基础 制定 安全 细则 )。 

(2) 配置 系统 安全 (配置 操作 系统 、 安 装 补丁 等 )。 

(3) 采用 安全 措施 (安装 防火 墙 \VPN 等 )。 

检测 是 对 防护 的 补充 ,通过 检测 发 现 系 统 或 网 络 的 异常 情况 ,发 现 可 能 的 攻击 行为 。 

响应 是 在 发 现 异常 或 攻击 行为 后 系统 自动 采取 的 行动 。 目 前 的 入侵 响应 措施 比较 单 
一 ,主要 包括 关闭 端口 .中断 连接 、 中 断 服务 等 方式 ,研究 多 种 入 侵 响 应 方式 将 是 今后 的 发 展 
方向 。 

通用 安全 评价 准则 (Common Criteria for IT Security Evaluation ,CC ) 为 威胁 .漏洞 和 
风险 等 词汇 定义 了 一 个 动态 的 安全 概念 和 关系 模型 ,如 图 1.4 所 示 。 这 个 模型 反映 了 所 有 
者 与 攻击 者 之 间 的 动态 对 抗 关系 , 它 也 是 一 个 动态 的 风险 模型 和 效益 模型 。 所 有 者 要 采取 
措施 ,减少 漏洞 对 资产 带 来 的 风险 。 攻 击 者 要 利用 漏洞 ,从 而 增加 对 资产 的 风险 。 所 有 者 采 
取 什么 样 的 保护 措施 是 同 资产 和 价值 分 不 开 的 , 它 不 可 能 付出 超过 资产 价值 的 代价 去 保护 
资产 。 同 样 ,攻击 者 也 不 会 以 超过 资产 价值 的 攻击 代价 进行 攻击 。 
价值 












































人 所 有 者 》 
希望 最 小 化 
利用 减少 
可 能 意识 到 可 能 被 减少 有 
希望 小 用 和 破坏 








图 1.4 CC 定义 的 动态 安全 概念 和 关系 模型 


1.4.4 APPDRR 模型 


网 络 安全 的 动态 特性 在 PPDR 模型 中 得 到 了 一 定 程度 
的 体现 ,其 中 主要 是 通过 入 侵 的 检测 和 响应 完成 网 络 安全 
的 动态 防护 。 但 PPDR 模型 不 能 描述 网 络 安全 的 动态 螺旋 
上 升 过 程 。 为 了 使 PPDR 模型 能 够 贴切 地 描述 网 络 安全 的 
本 质 规律 ,人 们 对 PPDR 模型 进行 了 修正 和 补充 ,在 此 基础 
上 提出 了 APPDRR 模型 ,如 图 1. 5 所 示 。APPDRR 模型 认 
为 网 络 安全 由 风险 评估 (Assessment)、 安 全 策略 (Policy)、 系 
统 防 护 (Protection )、 动态 检测 (Detection)、 实 时 响应 
(Reaction) 和 灾难 恢复 (Restoration)6 个 部 分 组 成 。 图 1.5 APPDRR 模型 







风险 评估 


网 络 安全 | 安全 策略 


动态 检测 | 系统 防护 
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根据 APPDRR 模型 ,网 络 安全 的 第 一 个 重要 环节 是 风险 评估 ,通过 风险 评估 掌握 网 络 
安全 面临 的 风险 信息 ,进而 采取 必要 的 处 置 措施 ,使 信息 组 织 的 网 络 安全 水 平 呈 现 动态 螺旋 
上 升 的 趋势 。 网 络 安全 策略 是 APPDRR 模型 的 第 二 个 重要 环节 ,起 着 承上启下 的 作用 : 一 
方面 ,安全 策略 应 当 随 着 风险 评估 的 结果 和 安全 需求 的 变化 做 相应 的 更 新 ; 另 一 方面 ,安全 
策略 在 整个 网 络 安全 工作 中 处 于 原则 性 的 指导 地 位 ,其 后 的 检测 、 响 应 诸 环 节 都 应 在 安全 策 
略 的 基础 上 展开 。 系 统 防护 是 安全 模型 中 的 第 三 个 环节 ,体现 了 网 络 安全 的 静态 防护 措施 。 
接 下 来 是 动态 检测 、 实 时 响应 、 灾 难 恢复 3 个 环节 ,体现 了 安全 动态 防护 与 安全 和 人 侵 安全 威 
胁 * 短 兵 相 接 ” 的 对 抗 性 特征 。 

APPDRR 模型 还 隐 含 了 网 络 安全 的 相对 性 和 动态 螺旋 上 升 的 过 程 , 即 不 存在 百分之百 
的 静态 安全 ,网 络 安全 表现 为 一 个 不 断 改进 的 过 程 。 通 过 风险 评估 安全 策略 .系统 防护 . 动 
态 检测 .实时 响应 和 灾难 恢复 6 个 环节 的 循环 流动 ,网 络 安全 逐渐 地 得 以 完善 和 提高 ,从 而 
实现 保护 网 络 资源 的 安全 目标 。 


1.5 OSI 信息 安全 体系 


1989 年 12 月 ,国际 标准 化 组 织 颁布 了 ISO 7489 一 2 标准 , 它 是 该 组 织 提出 的 信息 处 理 
系统 开放 系统 互联 参考 模型 的 安全 体系 结构 部 分 。1990 年 ,国际 电信 联盟 (ITU) 把 它 作为 
X. 800 推荐 标准 。 我 国 则 把 它 作 为 GB/T 9387. 2 一 1995 国家 标准 。 

OSI 信息 安全 体系 结构 的 目标 有 以 下 两 个 。 

(1) 把 安全 特征 按照 功能 目标 分 配给 OSI 层 ,以 加 强 OSI 结构 的 安全 性 。 

(2) 提供 一 个 结构 化 的 框架 ,以 便 供应 商 和 用 户 据 此 评估 安全 产品 。 

OSI 信息 安全 体系 结构 对 于 构建 网 络 环 境 下 的 信息 安全 解决 方案 具有 指导 意义 。 其 核 
心 内 容 是 为 异 构 计 算 机 的 进程 与 进程 之 间 的 通信 安全 性 定义 了 五 类 安全 服务 、 八 类 安全 机 
制 , 以 及 安全 服务 分 层 的 思想 ,并 描述 了 OSI 的 安全 管理 框架 ,最 后 描述 了 这 些 安全 服务 、 
安全 机 制 在 七 层 中 的 配置 关系 ,从 而 为 网 络 通信 安全 体系 结构 的 研究 葛 定 了 重要 基础 。 


1.5.1 OSI 的 七 层 结 构 与 TCP/IP 模型 


计算 机 网 络 把 计算 机 连接 起 来 ,使 得 各 种 计算 设备 可 以 方便 地 交换 和 共享 信息 资源 。 
网 络 设计 采用 了 分 层 结构 化 的 设计 思想 ,如 图 1.6 所 示 , 即 将 网 络 按照 功能 分 成 一 系列 的 层 
次 。 相 邻 层 中 较 高 层 直 接 使 用 较 低层 提供 的 服务 实现 其 功能 ,同时 又 向 它 的 上 一 层 提供 服 
务 , 服 务 的 提供 是 通过 相 邻 层 的 接口 来 实现 的 。 

层次 化 结构 有 效 地 实现 了 各 个 层次 功能 的 划分 ,并 定义 了 规范 的 接口 ,使 得 每 一 层 的 功 
能 比较 简单 ,易于 实现 和 维护 。 例 如 , 它 使 网 络 的 设计 者 不 需要 把 注意 力 放 在 具体 物理 传输 
媒介 和 应 用 细节 上 ,而 专注 于 网 络 的 拓扑 结构 。 

每 一 层 中 的 活动 元 素 称 为 实体 ,位 于 不 同系 统 上 同一 层 的 实体 称 为 对 等 实体 。 不 同系 
统 之 间 的 通信 可 以 由 对 等 实体 间 的 逻辑 通信 来 实现 ,对 某 一 层 上 的 通信 所 使 用 的 规则 称 为 
该 层 上 的 通信 协议 。 按 照 所 属 的 层次 顺序 排列 而 成 的 协议 序列 称 为 协议 栈 。 

事实 上 ,除了 在 最 下 面 的 物理 层 上 进行 的 是 实际 的 通信 外 ,其 余 各 对 等 实体 之 间 进 行 的 
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都 是 虚拟 通信 或 逻辑 通信 。 高 层 实体 之 间 的 通信 和 是 调用 相 邻 低层 实体 之 间 的 通信 实现 的 ， 
如 此 下 去 总 是 要 经 过 物理 层 才能 实现 通信 。N 十 1 层 实体 要 想 把 数据 D 传送 到 对 等 实体 手 
中 , 它 将 调用 N 层 提供 的 通信 服务 ,在 被 称 为 服务 数据 单元 (SDU) 的 D 前 面 加 上 协议 头 
(PH) ,传送 到 对 等 的 N 层 实体 手中 ,而 N 层 实 体 去 掉 协议 头 ,把 信息 D 交付 到 N 十 1 层 对 
等 实体 手中 。 关 于 上 面 七 层 协议 模型 中 各 层 的 含义 ,请 参考 计算 机 网 络 通信 方面 的 书籍 ,这 
里 不 再 袭 述 。 














应 用 层 ee-------- 应 用 层 
表示 层 “| -------- 表示 层 
人 请 大 -| ======= 会 话 层 
传输 层 “上 -------- 传输 层 
网 络 层 “| -------- 网 络 层 
数据 链 路 层 = -------- 数据 链 路 层 
物理 层 “| 一 物理 层 


图 1.6 OSI 的 七 层 协议 模型 


Internet 实际 上 不 是 由 七 层 组 成 的 ,而 是 由 应 用 层 、 传 输 层 (TCP/UDP)、 网 络 互 联 层 
(CIP) 和 网 络 接口 层 组 成 的 ,它们 的 位 置 关 系 如 图 1.7 所 示 。 
它 的 各 层 功 能 介绍 如 下 。 














应 用 层 对 应 于 OSI 应 用 层 、 表 示 层 和 会 话 层 的 组 合 ,为 应 ee 
用 程序 访问 网 络 通信 提供 接口 。 常 见 的 协议 包括 FTP( 文 本 伟 
输 协议 ) ,Telnet( 远 程 终端 协议 ) .SMTP( 简 单 邮 件 传输 协议 ) hi ana 
和 HTTP( 超 文本 传输 协议 ) 等 。 kell 











传输 层 对 应 于 OSI 的 传输 层 ,为 高 层 提供 一 定 的 数据 可 靠 ”图 1.7 TCP/IP 参 考 模型 
性 和 完整 性 ,包括 两 个 传输 协议 TCP 和 UDP ,前 者 提供 面向 连 
接 的 传输 服务 ,后 者 提供 面向 非 连接 的 传输 服务 。 

网 络 互联 层 与 OSI 的 网 络 层 对 应 ,处 理 建立 、 保 持 、 释 放 连 接 及 路 由 等 功能 ,该 层 上 的 
协议 为 IP。 

网 络 接口 层 对 应 于 OSI 的 数据 链 路 层 和 物理 层 的 组 合 ,负责 把 IP 包 封 装 为 适合 于 物 
理 网 络 上 传输 的 帧 ,并 解决 帧 和 位 传输 的 纠 错 问题 。 不 同 的 网 络 介 质 有 不 同 的 协议 。 


1.5.2 OSI 的 安全 服务 


OSI 的 五 类 安全 服务 是 鉴别 服务 .数据 机 密 性 数据 完整 性 .访问 控制 服务 和 抗 抵赖 服 
务 。 实 际 上 这 是 一 些 要 实现 的 安全 目标 ,但 在 OSI 的 框架 之 下 ,认为 每 一 层 和 它 的 上 一 层 
都 是 一 种 服务 关系 ,因此 ,把 这 些 安全 目标 称 为 安全 服务 是 恰当 的 。 

1. 鉴别 服务 

鉴别 服务 提供 对 等 实体 鉴别 和 数据 来 源 鉴别 。 

(1) 对 等 实体 鉴别 。 对 等 实体 鉴别 提供 实体 的 身份 识别 服务 ,该 服务 能 够 确定 一 个 实 
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体 没 有 冒充 其 他 实体 ,使 对 方 (对 等 实体 ) 确 信 他 正在 和 所 声称 的 另 一 实体 通信 。 

(2) 数据 来 源 鉴 别 。 确 认 所 收 到 的 数据 来 源 是 所 声称 的 实体 ,但 对 于 数据 的 重 放 不 提 
供 保护 。 

2. 数据 机 密 性 

数据 机 密 性 安全 服务 能 够 防止 数据 未 经 授权 而 被 泄露 ,防止 在 系统 之 间 交 换 数据 时 
数据 被 截获 。 它 包括 连接 机 密 性 、 无 连接 机 密 性 、 选 择 字段 机 密 性 、 业 务 流 机 密 性 4 项 
服务 。 

3. 数据 完整 性 


数据 完整 性 安全 服务 是 用 于 对 付 主动 威胁 的 ,用 来 防止 在 系统 之 间 交 换 数据 时 ,数据 被 
修改 .插入 或 丢失 。 它 包括 可 恢复 的 连接 完整 性 .不 可 恢复 的 连接 完整 性 、 选 择 字段 的 连接 
完整 性 ,无 连接 完整 性 ,选择 字段 的 无 连接 完整 性 。 

(1) 可 恢复 的 连接 完整 性 。 为 在 某 层 上 建立 的 一 个 连接 的 所 有 用 户 数据 提供 完整 性 
检测 , 即 检查 整个 服务 数据 单元 序列 中 所 有 服务 数据 单元 的 数据 是 否 被 算 改 ,检查 服务 
数据 单元 序列 是 否 被 删除 .插入 或 乱 序 。 一 旦 出 现 差错 ,该 服务 将 提供 重 传 或 纠 错 等 恢 
复 操作 。 

(2) 不 可 恢复 的 连接 完整 性 。 与 可 恢复 的 连接 完整 性 唯一 不 同 的 是 检查 到 差错 后 不 进 
行 补救 。 

(3) 选择 字段 的 连接 完整 性 。 为 某 层 的 一 个 连接 传输 的 所 选择 部 分 字段 提供 完整 性 检 
查 。 检 查 这 些 服务 数据 单元 字段 序列 的 数据 是 否 被 算 改 ,检查 字段 序列 是 否 被 删除 .插入 或 
乱 序 。 
(4) 无 连接 完整 性 。 对 某 层 上 协议 的 某 个 服务 数据 单元 提供 完整 性 检查 服务 ,确认 是 
否 被 筑 改 。 

(5) 选择 字段 的 无 连接 完整 性 。 仅 对 某 层 协议 的 某 个 服务 数据 单元 的 部 分 字段 提供 完 
整 性 检查 服务 ,确认 是 否 被 算 改 。 

4. 访问 控制 服务 和 抗 抵赖 服务 

访问 控制 服务 是 防止 对 资源 的 非 授权 使 用 , 抗 抵 赖 服务 又 分 为 数据 的 发 送 方 提供 交付 
证 明和 为 数据 的 接收 方 提供 原 发 证 明 。 


1.5.3 OSI 安全 机 制 


OSI 的 安全 机 制 分 为 两 大 类 别 : 一 类 被 称 为 特定 安全 机 制 , 包 括 加 密 、 数 字 签 名 、 访 问 
控制 ,数据 完整 性 、 鉴 别 交换 ,通信 和 量 填 充 和 公证 ; 另 一 类 被 称 为 普遍 安全 机 制 , 包 括 可 信 功 
能 度 、 安 全 标记 、 事 件 检 测 .安全 审计 追踪 和 安全 恢复 。 特 定安 全 机 制 中 除了 数据 完整 性 外 ， 
都 属于 我 们 定义 的 安全 防护 范畴 ; 而 OSI 的 普遍 安全 机 制 除了 可 信和 功能 度 外 ,都 对 应 于 我 
们 的 安全 检测 和 恢复 范围 。 

安全 服务 与 OSI 参考 模型 各 层 关系 如 表 1. 1 所 示 。 表 1. 2 所 示 为 对 付 典型 网 络 威胁 的 
安全 服务 。 安 全 服务 与 安全 机 制 的 关系 如 表 1.3 所 示 。 
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表 1.1 安全 服务 与 OSI 协议 层 的 关系 表 



































































































































安全 服务 网 二 全 全 物理 层 | 数据 链 路 层 | 网 络 层 | 传输 层 | 会 话 层 | 表示 层 | 应 用 层 
鉴别 | 对 等 实体 鉴别 至 和 芭 
服务 | 数据 来 源 鉴别 区 Y 
访问 控制 服务 坚 
连接 机 密 性 至 Y 学 和 玉 至 
数据 | 无 连接 机 密 性 ¥ Y 和 区 Y 
机 密 性 | 选择 字段 机 密 性 Y 到 
业务 流 机 密 性 各 Y Y 
可 恢复 的 连接 完整 性 YY Y 
数据 不 可 恢复 的 连接 完整 性 Y 村 Y 
完整 性 选择 字段 连接 完整 性 至 
无 连接 完整 性 下 Y Y 
选择 字段 无 连接 完整 性 ¥ 
抗 抵 | 数据 原 发 证 明 抗 抵赖 性 等 
赖 服务 | 交付 证 明 的 抗 抵赖 性 Y 
表 1.2 对 付 典型 网 络 威胁 的 安全 服务 
安全 威胁 安全 服务 
欺骗 攻击 鉴别 服务 
非 授 权 和 侵 访问 控制 服务 
窃听 攻击 数据 机 密 性 服务 
完整 性 破坏 数据 完整 性 服务 
服务 否认 抗 抵赖 服务 
拒绝 服务 鉴别 服务 .访问 控制 服务 和 数据 完整 性 服务 等 
表 1.3 安全 服务 与 安全 机 制 的 关系 表 
人 加 密 | 数字 签名 | 访问 控制 | 数据 完整 性 | 鉴别 交换 | 通信 量 填充 | 公证 
安全 服务 
鉴别 | 对 等 实体 鉴别 人 Y Y 
服务 | 数据 来 源 鉴 别 和 YY 
访问 控制 服务 区 
连接 机 密 性 区 Y 
数据 | 无 连接 机 密 性 四 
机 密 性 | 选择 字段 机 密 性 入 
业务 流 机 密 性 Y Y Y 
可 恢复 的 连接 完整 性 尝 
数据 不 可 恢复 的 连接 完整 性 | Y 至 
完整 性 选择 字段 连接 完整 性 全 区 
无 连接 完整 性 到 党 Y 
选择 字段 无 连接 完整 性 | Y Y 
抗 抵 | 数据 原 发 证 明 抗 抵赖 性 | Y 区 和 Y 
赖 服务 | 交付 证 明 的 抗 抵赖 性 这 六 
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1.6 信息 安全 中 的 非 技 术 因素 


从 信息 安全 对 安全 策略 的 依赖 性 ,我 们 已 经 知道 保护 的 信息 对 象 . 所 要 达到 的 保护 目标 
是 人 通过 安全 策略 确定 的 。 另 外 ,信息 保护 中 采用 
的 技术 和 最 终 对 安全 系统 的 操作 都 是 人 来 完成 的 。 
不 仅 如 此 ,在 信息 安全 系统 的 设计 ,实施 和 验证 中 
也 不 能 离开 人 ,人 在 信息 安全 管理 中 占据 着 中 心地 
位 。 图 1. 8 所 示 为 人 在 信息 安全 中 的 地 位 。 计算 机 与 网 络 安全 


1.6.1 人 人员、 组织 与 管理 





任何 安全 系统 的 核心 都 是 人 。 在 信息 安全 领 汪 人 二 区 
域 ,这 一 点 尤其 突出 。 因 为 如 果 用 户 ,特别 是 内 部 
用 户 不 正确 地 使 用 系统 ,就 可 以 轻而易举 地 跳 过 技术 控制 。 例 如 ,计算 机 系统 一 般 是 通过 口 
令 来 识别 用 户 的 。 如 果 用 户 提供 正确 的 口令 , 则 系统 自动 认为 该 用 户 是 授权 用 户 。 假 设 一 
个 授权 用 户 把 他 的 用 户 名 /口令 告诉 了 其 他 人 ,那么 非 授权 用 户 就 可 以 假冒 这 个 授权 用 户 ， 
而 无 法 被 系统 发 现 。 

通常 , 非 授权 的 外 部 用 户 攻击 一 个 机 构 的 计算 机 系统 是 危险 的 ,而 一 个 授权 的 用 户 
攻击 一 个 机 构 的 计算 机 系统 将 更 加 危险 。 因 为 内 部 人 员 对 机 构 的 计算 机 网 络 系统 架构 、 
操作 员 的 操作 规程 非常 清楚 ,而 且 通常 还 会 知道 足够 的 口令 跨越 安全 控制 ,而 这 些 安全 
控制 足以 把 外 部 攻击 者 挡 在 门 外 了 。 可 见 ,内 部 用 户 的 越权 使 用 是 一 个 非常 难以 应 对 的 
问题 。 

如 果 系 统管 理 员 对 系统 的 安全 相关 配置 出 现 错误 ,或 者 未 能 及 时 查看 安全 日 志 ,或 者 用 
户 未 正确 采用 安全 机 制 保护 信息 ,都 将 使 得 机 构 的 信息 系统 防御 能 力 大 大 降低 。 

未 受训 练 的 员工 通常 会 给 机 构 的 信息 安全 带 来 另外 一 种 风险 。 例 如 ,未 受训 练 的 员工 
不 知道 数据 备份 之 后 的 验证 ,只 有 当 系统 遭受 攻击 以 后 ,该 员工 才 发 现 它 所 备份 的 材料 无 法 
读 出 。 当 然 , 这 里 未 受训 练 除了 指 技术 方面 外 ,还 有 社会 工程 学 方面 的 含义 。 这 方面 的 例子 
很 多 ,又 如 ,一 个 雇员 可 能 会 依照 一 个 电话 请 求 改 变 自 己 的 口令 ,这 时 攻击 者 将 获得 极 大 的 
攻击 效果 。 

由 此 可 见 ,使 用 合格 的 技术 培训 和 安全 意识 教育 是 十 分 重要 的 。 

安全 通常 不 会 给 企业 带 来 直接 的 经 济 效益 ,但 它 能 有 效 地 吉 免 损失 。 比 较 糟 糙 的 是 , 企 
业 一 般 都 认为 在 安全 上 的 投资 是 一 种 浪费 ,而 且 为 系统 添加 安全 功能 往往 会 使 原来 简单 的 
操作 变 得 复杂 ,从 而 降低 处 理 效率 。 

信息 安全 不 仅 要 靠 组 织 和 内 部 人 员 有 安全 技术 知识 .安全 意识 和 领导 层 对 安全 的 重视 ， 
还 必须 制定 一 整套 明确 责任 ,明确 审批 权限 的 安全 管理 制度 ,以 及 专门 的 安全 管理 机 构 ,从 
根本 上 保证 所 有 人 员 的 规范 化 使 用 和 操作 。 另 外 ,一 个 组 织 对 人 员 的 行为 进行 适当 的 记录 
也 是 一 项 行 之 有 效 的 方法 。 
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1.6.2 法 规 与 道德 


法 律 会 限制 信息 安全 保护 中 可 用 的 技术 及 技术 的 使 用 范围 ,因此 决定 安全 策略 或 选用 
安全 机 制 的 时 候 需要 考虑 法 律 或 条 例 的 规定 。 

例如 ,中 华人 民 共 和 国 国 家 密码 管理 局 颁布 的 (商用 密码 管理 条 例 )(1999 年 ) 规 定 , 在 
中 国 , 商 用 密码 属于 国家 秘密 ,国家 对 商用 密码 的 科研 生产、 销售 和 使 用 实行 专 控 经 营 。 也 
就 是 说 ,使 用 未 经 国家 批准 的 密码 算法 ,或 者 使 用 国家 批准 的 算法 但 未 取得 国家 授权 认可 的 
产品 都 属于 违法 行为 。 因 此 ,如 果 要 采用 密码 算法 保护 本 单位 的 商用 信息 时 ,需要 采用 国家 
授权 的 产品 。 

此 外 ,社会 道德 和 人 们 的 行为 习惯 都 会 对 信息 安全 产生 影响 。 一 些 技术 方法 或 管理 办 
法 在 一 个 国家 或 区 域 可 能 不 会 有 问题 ,但 在 另 一 个 地 方 可 能 会 受到 抵制 。 例 如 , 密 钥 托管 在 
一 些 国家 实施 起 来 可 能 比较 容易 ,在 有 些 国 家 则 认为 密 钥 托管 技术 的 使 用 侵犯 了 人 权 。 信 
息 安全 的 实施 与 所 属 的 社会 环境 有 紧密 的 联系 ,不 能 照搬 他 人 的 经 验 。 

人 们 的 习惯 或 心理 接受 能 力也 是 很 重要 的 。 例 如 ,一 个 公司 要 求 其 员工 提供 DNA 的 
样本 以 便 进行 身份 识别 ,虽然 这 没有 法 律 层面 的 问题 ,但 可 能 得 不 到 员工 的 认可 。 若 采用 这 
种 安全 机 制 比 没有 采用 任何 安全 机 制 还 要 坏 。 


1.7 信息 安全 标准 化 知识 


1.7.1 技术 标准 的 基本 知识 


标准 是 人 们 为 了 某 种 目的 和 需要 而 提出 的 统一 性 要 求 ,是 对 一 定 范围 内 的 重复 性 事务 
和 概念 所 做 的 统一 规定 。 标 准 又 是 一 种 特殊 文件 , 它 是 为 在 一 定 范围 内 获得 最 佳 秩序 ,对 活 
动 及 其 结果 规定 共同 重复 使 用 的 规则 ,指导 原则 或 特性 要 求 。 

标准 对 促进 信息 通信 技术 产业 的 发 展 及 推广 应 用 发 挥 着 极其 重要 的 作用 。 统 一 标准 是 
互联 互通 、 信 息 共 享 ` 业 务 协同 的 基础 。 如 果 没 有 标准 ,互联 网 就 不 会 发 展 到 今天 这 种 规模 。 
人 们 很 难说 清楚 生产 一 台 计 算 机 要 遵循 多 少 标准 ,但 是 每 个 生产 商 一 定 会 考虑 采用 标准 统 
一 的 磁盘 驱动 器 .打印 机 接口 和 网 卡 等 。 

标准 化 是 制定 标准 并 使 其 在 社会 一 定 范围 内 得 以 推广 应 用 的 一 系列 活动 。 这 些 活 动 主 
要 包括 制定 ,发布 .实施 及 修改 标准 等 过 程 。 信 息 化 建设 相关 的 标准 化 工作 是 推动 国家 信息 
化 建设 的 重要 基础 性 工作 。 在 国家 信息 化 建设 过 程 中 ,标准 是 规范 技术 开发 .产品 生产 、 工 
程 管理 等 行为 的 技术 法 规 。 统 一 标准 是 信息 互通 、 互 联 、 互 操作 的 前 提 。 只 有 统一 技术 要 
求 .业务 要 求 和 管理 要 求 等 标准 化 手段 , 才 可 以 保障 信息 化 建设 的 相关 工程 及 相关 环节 的 建 
设 在 行业 范围 内 有 章 可 循 \ 有 法 可 依 , 形 成 一 个 有 机 的 整体 ,避免 言 目 和 重复 ,降低 成 本 , 提 
高 效益 ,从 而 规范 和 促进 国家 信息 化 建设 有 序 、 高 效 、 快 速 的 健康 发 展 。 

标准 的 产生 要 经 过 协商 一 致 制定 ,并 由 公认 机 构 批 准 。 协 商 一 致 是 指 普遍 同意 ,表征 为 
对 实质 性 问题 ,有 关 重 要 方面 没有 坚持 反对 意见 ,并 且 按 程序 对 有 关 各 方面 的 观点 进行 了 研 
究 和 对 争议 经 过 了 协调 。 协 商 一 致 并 不 意味 着 没有 异议 。 简 言 之 ,协商 一 致 是 指 有 关 各 界 
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的 重要 一 方 对 标准 中 的 实质 性 问题 普遍 接受 ,没有 坚持 的 反对 意见 ,但 有 可 能 会 有 少量 的 异 
议 。 为 了 保证 标准 的 严肃 性 和 权威 性 ,标准 需 经 公认 的 权威 机 构 批 准 , 通 常 权威 机 构 包 括 政 
府 主管 部 门 .标准 化 组 织 或 团体 (包括 国际 组 织 或 区 域 组 织 ) ,从 事 标 准 化 工作 的 协会 或 学 
会 等 。 

在 我 国 , 将 标准 级 别 依据 (中 华人 民 共 和 国标 准 化 法 ) 划 分 为 国家 标准 行业 标准 、 地 方 
标准 和 企业 标准 4 个 层次 。 各 层次 之 间 有 一 定 的 依存 关系 和 内 在 联系 ,形成 一 个 层次 分 明 
的 标准 体系 。 此 外 ,为 适应 某 些 领域 标准 快速 发 展 和 快速 变化 的 需要 ,于 1998 年 规定 的 四 
级 标准 之 外 ,还 增加 了 一 种 “国家 标准 化 指导 性 技术 文件 ”作为 对 国家 标准 的 补充 ,代号 为 
“GB/Z”。 符 合 下 列 情况 之 一 的 项 目 , 可 以 制定 指导 性 技术 文件 : 四 技术 尚 在 发 展 中 ,需要 
有 相应 的 文件 引导 其 发 展 或 具有 标准 化 价值 , 尚 不 能 制定 为 标准 的 项 目 ; 四 采用 国际 标准 
化 组 织 、 国 际 电工 委员 会 及 其 他 国际 组 织 的 技术 报告 的 项 目 。 指 导 性 技术 文件 仅 供 使 用 者 
参考 。 

依据 (中 华人 民 共 和 国标 准 化 法 ) 的 规定 ,国家 标准 \ 行 业 标 准 均 可 分 为 强制 性 和 推荐 性 
两 种 属性 的 标准 。 强 制 性 标准 是 由 法 律 规定 必须 遵照 执行 的 标准 。 强 制 性 标准 以 外 的 标准 
是 推荐 性 标准 ,又 称 为 非 强制 性 标准 。 推 荐 性 国家 标准 的 代号 为 "GB/T”, 强 制 性 国家 标准 
的 代号 为 “GB”。 行 业 标准 中 的 推荐 性 标准 也 是 在 行业 标准 代号 后 加 个 “T” 字 ,如 “JB/T”， 
即 为 机 械 行 业 推 荐 性 标准 ,以 此 类 推 。 


1.7.2 标准 化 组 织 


本 书 所 描述 的 很 多 安全 技术 和 应 用 已 经 被 认定 为 国际 标准 。 另 外 ,这 些 标准 已 经 被 拓 
展 , 目 前 已 经 涵盖 管理 实践 和 整个 安全 机 制 与 服务 体系 。 在 本 书 中 ,我 们 利用 正在 使 用 的 最 
重要 的 或 正在 开发 的 标准 来 描述 计算 机 信息 安全 的 各 个 方面 。 各 种 组 织 都 在 致力 于 促进 或 
推动 这 些 标准 的 制定 和 修改 ,一 些 重要 的 组 织 如 下 。 

(1) 国际 标准 化 组 织 (International Organization for Standardization, ISO) : 1946 年 成 
立 的 非 政 府 性 的 国际 标准 化 机 构 , 在 国际 标准 化 工作 中 占有 主导 地 位 。ISO 的 主要 任务 是 
制定 国际 标准 ,协调 世界 范围 的 标准 化 工作 ,以 及 与 其 他 国际 组 织 开 展 合作 。ISO 在 信息 安 
全 方面 制定 了 很 多 安全 标准 ,如 ISO/IEC 15408( 信 息 安全 评估 公共 准则 )、ISO/IEC 15443 
(信息 技术 安全 保障 框架 ) ,ISO/IEC 27000 系列 (信息 安全 管理 系统 ) 等 。 

(2) 国际 电信 联盟 (International Telecommunication Union,ITU): 1947 年 成 立 的 非 
政府 性 的 国际 电信 协调 机 构 , 它 是 联合 国 负责 国际 电信 事务 的 专门 机 构 。ITU 的 前 身 是 
1865 年 成 立 的 国际 电报 电话 咨询 委员 会 (International Telephone and Telegraph 
Consultative Committee,CCITT) ,该 组 织 在 1934 年 被 改组 为 国际 电信 联盟 。ITU 的 主要 
任务 是 制定 国际 电信 标准 ,分 配 可 用 的 无 线 电 频率 资源 ,提供 各 个 国家 之 间 的 国际 长 途 互联 
方案 等 。ITU 在 信息 安全 领域 制定 了 很 多 标准 ,如 X. 509、X. 805 等 。 

(3) 国际 电工 委员 会 (International Electro-technical Commission ,IEC) : 1906 年 成 立 
的 非 政 府 性 国际 电工 标准 化 机 构 , 它 是 联合 国 经 社 理事 会 (Economic and Social Council， 
ECOSOC) 的 甲 级 咨询 组 织 。IEC 的 主要 任务 是 制定 电工 国际 标准 ,协调 世界 范围 的 电工 标 
准 化 工作 ,以 及 与 其 他 国际 组 织 开展 标准 化 方面 的 合作 。IEC 与 ISO 联合 成 立 了 JTC 1( 信 
息 技术 第 一 联合 技术 委员 会 ) ,共同 制定 了 很 多 信息 安全 标准 。 
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(4) 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF): 1985 年 成 立 的 非 政 
府 性 国际 互联 网 研究 机 构 , 它 是 全 球 互联 网 领域 的 权威 技术 研究 组 织 。IETF 的 主要 任务 
是 研究 与 制定 互联 网 技术 规范 。IETF 与 上 述 几 个 国际 组 织 有 一 定 的 区 别 ,IETF 的 参与 者 
主要 是 志愿 人 员 ,每 年 通过 召开 几 次 会 议 来 完成 相关 工作 。 很 多 信息 安全 技术 规范 已 通过 
IETF 讨论 成 为 公认 的 标准 ,如 PKI、IPSec、SSL、PGP 等 。 

(5) 美国 国家 标准 与 技术 研究 所 (National Institute of Standard and Technology， 
NIST): NIST 是 美国 联邦 政府 的 一 个 机 构 , 负 责 制定 美国 政府 使 用 的 度量 、 标 准 和 技术 规 
范 , 也 负责 推动 美国 私营 企业 的 创新 。 尽 管 是 一 个 美国 国家 机 构 , NIST 联邦 信息 处 理 标准 
(NIST Federal Information Processing Standards,FIPS) 与 Special Publication(SP) 有 着 国 
际 范围 的 影响 力 。 

(6) 电气 和 电子 工程 师 协会 (Institute of Electrical and Electronics Engineer,IEEE) , 
1963 年 成 立 的 非 政府 性 的 国际 电子 标准 化 机 构 , 在 国际 标准 化 中 占有 重要 地 位 。IEEE 在 
信息 安全 领域 的 贡献 主要 有 两 方面 : 一 方面 是 电气 和 电磁 安全 ,如 IEEE C2( 国 家 电器 安全 
规程 ); 另 一 方面 是 信息 安全 ,如 IEEE 802. 10 IEEE 802. 11i 等 。 


1.7.3 信息 安全 相关 标准 


到 目前 为 止 ,相关 国际 组 织 在 信息 安全 领域 已 经 形成 了 以 下 几 个 国际 标准 。 

(1) 信息 安全 管理 指南 (ISO/IEC 13335): 由 ISO 和 IEC 共同 制定 的 信息 安全 管理 的 
指导 性 标准 ,目的 是 为 有 效 实施 信息 安全 管理 提供 建议 和 支持 ,主要 包括 信息 安全 的 概念 与 
模型 .信息 安全 管理 与 计划 制定 .信息 安全 管理 技术 、 防 护 措施 的 选择 .网 络 安全 管理 方 
针 等 。 

(2) 信息 安全 管理 实用 规则 (ISO/IEC 27001): 由 ISO 和 IEC 共同 制定 的 信息 安全 管 
理 的 指导 性 标准 ,目的 是 为 某 个 机 构 的 信息 安全 系统 开发 人 员 提 供 参考 ,为 该 机 构 提 供用 于 
制定 安全 标准 .实施 安全 管理 时 的 通用 要 素 ,并 使 不 同 机 构 之 间 的 信息 交互 能 够 获得 互信 。 

(3) 通用 安全 评价 标准 (ISO/IEC 15408): 简称 CC, 是 目前 国际 上 最 通行 的 信息 技术 
产品 级 系统 安全 性 评估 准则 ,也 是 信息 技术 安全 性 评估 结果 国际 互 认 的 基础 ; 是 由 ISO 和 
IEC 共同 制定 的 信息 安全 评估 标准 ,目的 是 为 软件 产品 的 用 户 与 开发 者 提供 安全 评估 手段 。 
用 户 可 以 指定 自己 的 安全 需求 ,开发 者 可 以 指定 产品 的 安全 属性 ,评估 者 可 以 通过 它 提 供 的 
评估 手段 判断 产品 是 否 满足 安全 需求 。 

(4) 信息 系统 软件 过 程 评估 (ISO/IEC 15504): 由 ISO 和 IEC 共同 制定 的 信息 系统 软 
件 过 程 评估 标准 ,目的 是 为 信息 系统 开发 者 提供 一 种 结构 化 的 软件 过 程 评估 方法 。 软 件 开 
发 者 可 将 它 用 于 软件 的 设计 管理 ,监督 与 控制 流程 ,并 提高 软件 的 开发 .操作 ,升级 和 支持 
能 力 。 

(5) 系统 安全 工程 能 力 成 熟 模型 (SSE-CMM) : 由 美国 国家 安全 局 .美国 国防 部 、 加 拿 
大 通信 安全 局 ,以 及 60 多 家 公司 共同 开发 的 安全 模型 ,目的 是 通过 对 系统 安全 工程 进行 管 
理 , 将 其 转变 为 一 个 具有 良好 定义 .成熟 \ 可 测量 的 工程 ,该 模型 于 1998 年 提交 ISO 并 形成 
一 个 国际 标准 。 

(6) 信息 安全 管理 体系 标准 (ISO/IEC 17799): 最 早 是 由 英国 标准 协会 制定 的 信息 安 
全 管理 体系 标准 ,于 1995 年 英国 首次 出 版 了 《信息 安全 管理 实施 细则 》, 它 提供 了 一 套 综合 
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的 、 由 信息 安全 最 佳 惯例 组 成 的 实施 规则 ,其 目的 是 作为 确定 工商 业 信息 系统 在 大 多 数 情 况 
所 需 控制 范围 的 唯一 参考 基准 ,于 2001 年 被 ISO 采纳 为 国际 标准 ISO/IEC 17799, 并 于 
2005 年 6 月 发 布 了 最 新 版 ,在 2007 年 7 月 1 日 正式 发 布 为 ISO/IEC 27002。 现 在 ,该 标准 已 经 
得 到 了 很 多 国家 的 认可 ,是 国际 上 具有 代表 性 的 信息 安全 管理 体系 标准 。 目 前 除 英国 外 ,还 有 
荷兰 .丹麦 .澳大利亚 .巴西 等 国 已 同意 使 用 该 标准 ; 日 本 、 瑞 士 ,卢森堡 等 国 也 表示 对 该 标准 
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1. 
和 


,我 国 的 台湾 .香港 也 在 推广 该 标准 。 许 多 国家 的 政府 机 构 银行、 证券. 保险 公司 ,电信 
\ 网 络 公司 及 许多 跨国 公司 已 采用 了 此 标准 对 自己 的 信息 安全 进行 系统 的 管理 。 


习 题 1 


、 选 择 题 


关于 访问 控制 服务 的 描述 中 ,正确 的 是 ( js 
A. 可 控制 用 户 访 问 网 络 资源 B. 可 识别 发 送 方 的 真实 身份 
C. 不 限制 用 户 使 用 网 络 服务 D. 可 约束 接收 方 的 抵赖 行为 


. 关于 信息 安全 问题 的 描述 中 ,不 正确 的 是 ( Vs 


A. 仅 依赖 技术 手段 就 可 以 解决 B. 需要 政府 制定 政策 加 以 引导 
C. 需要 通过 立法 约束 网 络 行为 D. 需要 对 网 络 用 户 进行 安全 教育 


. 第 三 方 假冒 发 送 方 的 身份 向 接收 方 发 送信 息 称 为 ( 3 


A. 窃取 信息 B. 重 放 信息 C. 篡改 信息 D. 伪造 信息 


. 在 以 下 几 个 国际 组 织 中 ,制定 X. 805 安全 标准 的 是 ( Ne 


A. ISO B. ITU C. IRTF D. NIST 


. 在 信息 安全 的 基本 要 素 中 ,防止 非 授 权 用 户 获取 网 络 信息 的 是 ( Js 


A. 可 用 性 B. 可 靠 性 C. 保密 性 D. 完整 性 


、 填 空 题 


OSI 安全 体系 结构 中 ,五 大 类 安全 服务 是 指 








站 


. 在 我 国信 息 安 全 等 级 保护 标准 中 ,满足 访问 验证 保护 功能 的 等 级 是 __。 
.在 PPDR 模型 中 ,通常 由 和 四 个 主要 部 分 组 成 。 
. 在 ITSEC 的 安全 等 级 中 ,C2 级 的 安全 要 求 比 B3 级 更 

. 国际 标准 化 组 织 的 英文 缩写 是 

、 简 答题 

. 计算 机 信息 系统 安全 的 威胁 因素 主要 有 了 哪些 ? 

. 从 技术 角度 分 析 引 起 计算 机 信息 系统 安全 问题 的 根本 原因 。 

. 信息 安全 的 CIA 指 的 是 什么 ? 

. 简 述 PPDR 安全 模型 的 构成 要 素 及 运作 方式 。 

. 计算 机 信息 安全 研究 的 主要 内 容 有 哪些 ? 

. 计算 机 信息 安全 的 定义 是 什么 ? 

. 计算 机 安全 系统 中 ,人 、 制 度 和 技术 之 间 的 关系 是 怎样 的 ,请 简要 描述 。 
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密码 技术 是 保障 信息 和 信息 系统 安全 的 核心 技术 之 一 , 它 起 源 于 保密 通信 技术 。 密 码 
学 又 分 为 密码 编码 学 (Cryptography) 和 密码 分 析 学 (Cryptanalysis) 两 大 部 分 ,其 中 密码 编 
码 学 是 研究 如 何 对 信息 编码 以 实现 信息 和 通信 安全 的 科学 ,而 密码 分 析 学 则 是 研究 如 何 破 解 
或 攻击 受 保护 信息 的 科学 。 这 两 者 既 相 互 对 立 , 又 相互 促进 ,推动 了 密码 学 不 断 向 前 发 展 。 


2.1 密码 学 概述 


在 这 一 节 里 简要 介绍 密码 学 有 关 的 基本 概念 和 基础 知识 ,包括 密码 体制 的 模型 .分 类 、 
攻击 和 评价 等 。 


2.1.1 密码 体制 的 模型 


在 密码 学 中 ,一 个 密码 体制 或 密码 系统 是 指 由 明文 、 密 文 . 密 钥 、 加 密 算法 和 解密 算法 所 
组 成 的 五 元 组 。 

明文 是 指 未 经 过 任何 变换 处 理 的 原始 消息 ,通常 用 m(message) 或 p(plaintext) 表 示 。 
所 有 可 能 的 明文 有 限 集 组 成 明文 空间 ,通常 用 M 或 P 表示 。 

密 文 是 指明 文 加 密 后 的 消息 ,通常 用 c(ciphertext) 表 示 。 所 有 可 能 的 密 文 有 限 集 组 成 
密 文 空间 ,通常 用 C 表示 。 

密 钥 是 指 进行 加 密 或 解密 操作 所 需 的 秘密 /公开 参数 或 关键 信息 ,通常 用 k(key) 表 示 。 
所 有 可 能 的 密 钥 有 限 集 组 成 密 钥 空间 ,通常 用 天 表示 。 

加 密 算 法 是 指 在 密 钥 的 作用 下 将 明文 消息 从 明文 空间 映射 到 密 文 空间 的 一 种 变换 方 
法 ,该 变换 过 程 称 为 加 密 ,通常 用 字母 已 表示 , 即 c 一 Ek(z)。 

解密 算法 是 指 在 密 钥 的 作用 下 将 密 文 消 息 从 密 文 空间 映射 到 明文 空间 的 一 种 变换 方 
法 ,该 变换 过 程 称 为 解密 ,通常 用 字母 D 表示 , 即 m= Dx (c)。 

图 2. 1 所 示 为 一 种 最 基本 的 密码 体制 模型 。 在 对 称 密码 体制 中 ,加 密 密 钥 久 和 解密 密 
钥 ee 是 相同 的 ,或 者 虽然 两 者 不 相同 ,但 已 知 其 中 一 个 密 钥 就 能 很 容易 地 推出 另 一 个 密 钥 。 
在 通常 情况 下 ,加 密 算法 是 解密 算法 的 逆 过 程 或 逆 函 数 。 而 在 非 对 称 密码 体制 中 ,作为 公 钥 
的 加 密 密 钥 各 和 作为 私 钥 的 解密 密 钥 , 在 本 质 上 是 完全 不 相同 的 ,已 知 其 中 一 个 密 钥 推 
出 另 一 个 密 钥 在 计算 上 是 不 可 行 的 ,并 且 解 密 算法 一 般 不 是 加 密 算法 的 逆 过 程 或 逆 函 数 。 


2.1.2 密码 体制 的 分 类 


密码 体制 是 指 实现 加 密 和 解密 功能 的 密码 方案 ,从 密 钥 使 用 策略 上 ,可 分 为 对 称 密码 体 
制 (Symmetric Key Cryptosystem) 和 非 对 称 密码 体制 (Asymmetric Key Cryptosystem) 两 
类 , 非 对 称 密码 体制 也 被 称 为 公 钥 密 码 体 制 (Public Key Cryptosystem)。 
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发 | 明文 m 明文 m_| 接 
者 共 者 
加 密 : c=Ek(m) 。 ， 解密 : orDk(O 
1 
密码 分 析 
图 2.1 密码 体制 的 基本 模型 
1. 对 称 密码 体制 


在 对 称 密码 体制 中 ,由 于 加 密 密 钥 K 和 解密 密 钥 Ks 是 相同 的 ,或 者 虽然 两 者 不 相同 ， 
但 已 知 其 中 一 个 密 钥 就 能 很 容易 地 推出 男 一 个 密 钥 ,因此 消息 的 发 送 者 和 接收 者 必须 对 所 
使 用 的 密 钥 完全 保密 ,不 能 让 任何 第 三 方 知道 。 对 称 密码 体制 又 称 为 秘密 密 钥 体制 (Secret 
Key Cryptosystem) . 单 钥 密码 体制 (One Key Cryptosystem) 或 传统 密码 体制 (Traditional 
Cryptosystem) 。 按 加 密 过 程 对 数据 的 处 理 方式 , 它 可 以 分 为 分 组 密码 和 序列 密码 两 类 ,经 
典 的 对 称 密码 算法 有 AES、DES、RC4 和 A5 等 。 

对 称 密码 体制 的 优点 如 下 。 

(1) 加 密 和 解密 的 速度 都 比较 快 ,具有 较 高 的 数据 吞吐 率 ,不 仅 软件 能 实现 较 高 的 吞吐 
量 , 而 且 还 适合 于 硬件 实现 ,使 硬件 加 密 和 解密 的 处 理 速度 更 快 。 

(2) 对 称 密码 体制 中 所 使 用 的 密 钥 相对 较 短 。 

(3) 密 文 的 长 度 往往 与 明文 长 度 相 同 。 

对 称 密码 体制 的 缺点 如 下 。 

(1) 密 钥 分 发 需要 安全 通道 ,发 送 方 如 何 安全 ,高效 地 把 密 钥 送 到 接收 方 是 对 称 密码 体 
制 的 软肋 ,对称 密 钥 的 分 发 过 程 往往 很 烦琐 ,需要 付出 的 代价 较 高 。 

(2) 密 钥 量 大 ,难于 管理 。 多 人 用 对 称 密码 算法 进行 保密 通信 时 ,其 密 钥 量 的 增长 会 按 
通信 人 数 二 次 方 的 方式 增长 ,导致 密 钥 管 理 变 得 越 来 越 复杂 。 例 如 ,n 个 人 使 用 对 称 密码 体 
制 相 互通 信 , 总 共 需 要 C? 个 密 钥 ,每 个 人 拥有 一 1 个 密 钥 , 当 n 较 大 时 ,将 极 大 地 增加 密 钥 
管理 (包括 密 钥 的 生成 、 使 用 存储、 备份 .存档 .更 新 等 ) 的 复杂 性 和 难度 。 

(3) 难以 解决 不 可 否认 性 问题 。 因 为 通信 双方 拥有 相同 的 密 钥 ,所 以 接收 方 可 以 否认 
接收 某 消息 ,发 送 方 也 可 以 否认 发 送 过 某 消息 , 即 对 称 密码 体制 很 难 解决 鉴别 认证 和 不 可 否 
认 性 的 问题 。 

2. 非 对 称 密码 体制 


在 非 对 称 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 是 完全 不 同 的 ,一 个 是 对 外 公开 的 公 钥 ,可 
以 通过 公 钥 证 书 进行 注册 公开 ; 另 一 个 是 必须 保密 的 私 钥 , 只 有 拥有 者 才 知 道 。 不 能 从 公 
钥 推 出 私 钥 ,或 者 说 从 公 钥 推出 私 钥 在 计算 上 是 不 可 行 的 。 非 对 称 密码 体制 又 称 为 双 钥 密 
码 体制 (Double Key Cryptosystem) 或 公开 密 钥 密码 体制 (Public Key Cryptosystem) 。 典 
型 的 非 对 称 密码 体制 有 RSA、ECC、Rabin、Elgamal 和 NTRU 等 。 

非 对 称 密码 体制 主要 是 为 了 解决 对 称 密码 体制 中 难以 解决 的 问题 而 提出 的 ,一 是 解决 
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对 称 密码 体制 中 密 钥 分 发 和 管理 的 问题 ; 二 是 解决 不 可 否认 性 的 问题 。 由 此 可 知 , 非 对 称 
密码 体制 在 密 钥 分 配 和 管理 、 鉴 别 认证 \ 不 可 否认 性 等 方面 具有 重要 意义 。 

对 称 密码 体制 主要 用 于 信息 的 保密 ,实现 信息 的 机 密 性 。 而 非 对 称 密码 体制 不 仅 可 用 
来 对 信息 进行 加 密 ,还 可 以 用 来 对 信息 进行 数字 签名 。 在 非 对 称 密码 体制 中 ,任何 人 可 用 
信息 接收 者 的 公 钥 对 信息 进行 加 密 ,信息 接收 者 则 用 自己 的 私 钥 进行 解密 。 而 在 数字 签 
名 算法 中 ,签名 者 用 自己 的 私 钥 对 信息 进行 签名 ,任何 人 可 用 他 相应 的 公 钥 验证 其 签名 
的 有 效 性 。 因 此 , 非 对 称 密码 体制 不 仅 可 保障 信息 的 机 密 性 ,还 具有 认证 和 抗 否认 性 的 
功能 。 

非 对 称 密码 体制 的 优点 如 下 。 

(1) 密 钥 的 分 发 相对 容易 。 在 非 对 称 密码 体制 中 , 公 钥 是 公开 的 ,而 用 公 钥 加 密 的 信息 
只 有 对 应 的 私 钥 才能 解密 。 所 以 , 当 用 户 需 要 与 对 方 发 送 对 称 密 钥 时 ,只 需 利 用 对 方 公 钥 加 
密 这 个 密 钥 ,而 这 个 加 密 信息 只 有 拥有 相应 私 钥 的 对 方才 能 解密 ,得 到 所 发 送 来 的 对 称 
密 钥 。 

(2) 密 钥 管理 简单 。 每 个 用 户 只 需 保存 好 自己 的 私 钥 , 对 外 公布 自己 的 公 钥 , 则 个 用 
户 仅 需 产生 n 对 密 钥 , 即 密 钥 总 量 为 2nx。 当 n 较 大 时 , 密 钥 总 量 的 增长 是 线性 的 ,而 每 个 用 
户 管理 密 钥 个 数 始终 为 一 个 。 

(3) 可 以 有 效 地 实现 数字 签名 。 这 是 因为 消息 签名 的 产生 来 自 于 用 户 的 私 钥 , 其 验证 
使 用 了 用 户 的 公 钥 ,由 此 可 以 解决 信息 的 不 可 否认 性 问题 。 

非 对 称 密码 体制 的 缺点 如 下 。 

(1) 与 对 称 密码 体制 相 比 , 非 对 称 密码 体制 加 密 / 解 密 速度 较 慢 。 

(2) 在 同等 安全 强度 下 , 非 对 称 密 码 体制 要 求 的 密 钥 长 度 要 长 一 些 。 

(3) 密 文 的 长 度 往往 大 于 明文 的 长 度 。 

无 论 是 对 称 密码 体制 还 是 非 对 称 密码 体制 ,在 设计 和 使 用 时 必须 遵守 柯 克 霍 夫 原则 
(Kerckhoffs Principle) : 即使 密码 系统 的 任何 细节 已 为 人 悉 知 ,只 要 密 钥 未 泄露 ,就 应 该 是 
安全 的 。 柯 克 霍 夫 原 则 也 称 为 柯 克 霍 夫 假设 (Kerckhoffs Assumption) 或 柯 克 霍 夫 公 理 
(Kerckhoffs Axiom) , 它 主 要 阐述 了 关于 密码 分 析 的 一 个 基本 假设 ,任何 一 个 密码 系统 的 安 
全 性 不 应 取决 于 不 易 改变 的 算法 ,而 应 取决 于 密 钥 的 安全 性 ,只 要 密 钥 是 安全 的 , 则 攻击 者 
就 无 法 从 密 文 推导 出 明文 。 


2.1.3 密码 体制 的 攻击 


密码 分 析 学 与 密码 编码 学 是 一 对 挛 生 兄弟 ,几乎 是 伴随 着 密码 编码 学 的 产生 而 产生 的 ， 
它 是 研究 如 何 分 析 或 破解 各 种 密码 体制 的 一 门 科学 。 密 码 分 析 俗称 密码 破译 ,是 指 在 密 文 
通信 过 程 中 , 非 授权 者 在 不 知道 解密 密 钥 的 条 件 下 对 密 文 进行 分 析 , 试 图 得 到 明文 或 密 钥 的 
过 程 。 通 信者 所 采用 的 密码 体制 细节 在 密码 学 发 展 不 同时 期 处 理 方式 有 较 大 差异 ,在 传统 
密码 时 期 是 不 公开 的 ,而 在 现代 密码 时 期 是 公开 的 。 

密码 体制 的 设计 者 和 使 用 者 都 非常 关心 密码 分 析 问 题 ,因为 密码 体制 的 分 析 结果 是 评 
价 这 一 密码 体制 安全 性 的 重要 依据 。 从 本 质 上 讲 , 解 密 或 破译 是 密码 分 析 者 在 不 知道 解密 
密 钥 的 情况 下 从 截获 的 密 文中 恢复 出 明文 或 获得 密 钥 的 过 程 。 但 密码 分 析 者 具备 的 条 件 是 
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不 尽 相同 的 ,根据 密码 分 析 者 可 获得 的 密码 分 析 的 信息 量 把 密码 体制 的 攻击 划分 为 以 下 5 
种 类 型 。 

1. 了 唯 密 文 攻击 (Ciphertext Only Attack) 

密码 分 析 者 除了 拥有 所 截获 的 一 些 消息 的 密 文 外 .没有 其 他 可 以 利用 的 信息 。 密 码 分 
析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,甚至 能 推算 出 加 密 信息 的 密 钥 ,以 便 可 解密 出 用 同一 密 
钥 加 密 的 其 他 密 文 。 这 种 攻击 方式 可 以 抽象 地 描述 如 下 。 

已 知 : C=Ei(P1) ,Cs=E,(P,),*,C;=E,(P;)。 

推导 出 : Pi ,Ps,… ,Pi;, 密 钥 上 ,或 者 找 出 一 个 算法 从 CH = Ei(Pi41) 推 导出 Pi41。 

这 种 攻击 的 方法 一 般 采用 穷 举 搜索 法 , 即 对 截获 的 密 文 依次 用 所 有 的 可 能 密 钥 进 行 尝 
试 , 直 到 得 到 有 意义 的 明文 。 只 要 有 足够 多 的 计算 资源 和 存储 资源 ,从 理论 上 讲 , 穷 举 搜索 
是 可 以 成 功 的 ,经 不 起 这 种 攻击 的 密码 体制 被 认为 是 完全 不 安全 的 。 

2. 已 知 明 文 攻击 (Known Plaintext Attack) 

密码 分 析 者 不 仅 掌握 了 相当 数量 的 密 文 ,而 且 知道 一 些 已 知 的 明文 - 密 文 对 。 这 种 攻击 
方式 可 以 抽象 地 描述 如 下 。 

已 知 : Pi,C1=E,(Pi),P;,C:=E,(P:),* ,Pi,C;:=E,(P')., 

推导 出 : 密 钥 &, 或 者 从 CH = Ei(Pi41) 推 导出 P;y, 的 算法 。 

密码 分 析 者 的 任务 就 是 用 加 密 信息 推导 出 用 来 加 密 的 密 钥 或 推导 出 一 个 算法 ,此 算法 
可 以 对 用 同一 密 钥 加 密 的 任何 新 的 信息 进行 解密 。 在 现实 中 ,密码 分 析 者 可 能 通过 各 种 手 
段 得 到 更 多 的 信息 , 即 得 到 若干 个 明文 - 密 文 对 并 不 是 十 分 困难 的 事 , 而 且 明 文 消息 往往 采 
用 某 种 特定 的 格式 。 例 如 ,Postscript 格式 文件 开始 位 置 的 格式 总 是 相同 的 ,电子 现金 传送 
消息 总 有 一 个 标准 的 包头 或 标题 等 。 对 于 现代 密码 体制 的 基本 要 求 , 不 仅 要 经 受 得 住 唯 密 
文 攻击 ,而 且 要 经 受 得 住 已 知 明文 攻击 。 

3. 选择 明文 攻击 (Chosen Plaintext Attack) 

密码 分 析 者 不 仅 能 够 获得 一 定数 量 的 明文 - 密 文 对 ,而且 他 们 可 以 选择 任何 明文 ,并 在 
使 用 同一 未 知 密 钥 的 情况 下 能 得 到 相应 的 密 文 。 这 种 攻击 方式 可 以 抽象 地 描述 如 下 。 

已 知 ， Pi,G=E,(Pi),P;,,C:=E,(P,),.…,Pi,C;=E,(Pi), 其 中 ,P,P,,…,P; 是 由 
密码 分 析 者 选择 的 。 

推导 出 : 密 钥 ,或 者 从 CH = Ei(Pi4i) 推 导出 P+; 的 算法 。 

如 果 攻 击 者 在 加 密 系统 中 能 选择 特定 的 明文 消息 , 则 通过 该 明文 消息 对 应 的 密 文 有 可 
能 确定 密 钥 的 结构 或 获取 更 多 关于 密 钥 的 信息 。 选 择 明 文 攻击 比 已 知 明文 攻击 更 有 效 , 这 
种 情况 往往 是 密码 分 析 者 通过 某 种 手段 暂时 控制 加 密 器 。 这 种 攻击 主要 用 于 公开 密 钥 算 
法 ,也 就 是 说 公开 密 钥 算 法 ( 即 非 对 称 密码 算法 ) 必 须 经 受 住 这 种 攻击 。 

4. 选择 密 文 攻击 (Chosen Ciphertext Attack) 

密码 分 析 者 能 选择 不 同 被 加 密 的 密 文 .并 可 得 到 对 应 解密 的 明文 ,密码 分 析 者 的 任务 是 
推出 密 钥 及 其 他 密 文 对 应 的 明文 。 这 种 攻击 方式 可 以 抽象 地 描述 如 下 。 

已 知 : Ci ,Pi 二 Di(C1) ,Cz ,P= 二 Di(Cs),…,Ci, Pi 二 Di(C;), 其 中 ,Ci,C;,…,C; 是 由 
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密码 分 析 者 选择 的 。 

推导 出 : 密 钥 义 。 

如 果 攻 击 者 能 从 密 文中 选择 特定 的 密 文 消息 , 则 通过 该 密 文 对 应 的 明文 有 可 能 推导 出 
密 钥 的 结构 或 产生 更 多 关于 密 钥 的 信息 。 这 种 情况 往往 是 密码 分 析 者 通过 某 种 手段 暂时 控 
制 解密 器 。 

S. 选择 文本 攻击 (Chosen Text Attack) 

选择 文本 攻击 是 选择 明文 攻击 和 选择 密 文 攻击 的 组 合 , 即 密码 分 析 者 在 掌握 密码 算法 
的 前 提 下 ,不仅 能 够 选择 明文 并 得 到 对 应 的 密 文 ,而 且 还 能 选择 密 文 并 得 到 对 应 的 明文 。 这 
种 情况 往往 是 密码 分 析 者 通过 某 种 手段 暂时 控制 了 加 密 器 和 解密 器 。 

上 述 攻 击 的 目的 是 推导 出 用 来 解密 的 密 钥 或 新 的 密 文 所 对 应 的 明文 信息 。 这 5 种 攻击 
强度 通常 是 依次 递增 的 。 如 果 一 个 密码 系统 能 够 抵抗 选择 明文 攻击 ,那么 它 就 能 抵抗 已 知 
明文 攻击 和 唯 密 文 攻击 。 当 然 ,密码 体制 的 攻击 绝 不 限于 以 上 5 种 类 型 ,还 包括 一 些 非 技 术 
手段 ,如 密码 分 析 者 通过 威胁 、 勒 索 、 贿 赂 、 购 买 等 方式 获得 密 钥 或 相关 信息 。 在 某 种 情况 
下 ,这 些 手 段 往往 是 非常 有 效 的 攻击 ,但 不 是 本 书 所 关注 的 内 容 。 


2.1.4 密码 体制 的 评价 


随 着 现代 密码 学 的 发 展 ,对 密码 算法 的 评价 虽然 没有 统一 的 标准 ,但 从 最 近 的 美国 国家 
标准 与 技术 研究 院 (NIST) 对 AES 候选 算法 的 选择 标准 来 看 ,对 密码 算法 的 评价 标准 主要 
集中 在 以 下 几 个 方面 。 

(1) 安全 性 : 安全 是 最 重要 的 评价 因素 。 

(2) 计算 的 效率 : 即 算法 的 速度 ,算法 在 不 同 的 工作 平台 上 的 速度 都 应 该 考虑 到 。 

(3) 存储 条 件 : 对 RAM 和 ROM 的 要 求 。 

(4) 软件 和 硬件 的 适应 性 : 算法 在 软件 和 硬件 上 都 应 该 能 够 被 有 效 地 实现 。 

(5) 简洁 性 : 要 求 算 法 容易 实现 。 

(6) 适应 性 : 算法 应 与 大 多 数 的 工作 平台 相 适 应 ,能 在 广泛 的 范围 内 应 用 ,具有 可 变 的 
密 钥 长 度 。 

也 可 以 概括 性 地 认为 密码 算法 评价 的 标准 分 为 安全 、 费 用 和 算法 的 实施 特点 三 大 类 。 
其 中 ,安全 包括 坚实 的 数学 基础 ,以 及 与 其 他 算法 相 比较 的 相对 安全 性 等 ; 费用 包括 在 不 同 
平台 的 计算 速度 和 存储 必 备 条 件 ; 算法 的 实施 特点 包括 软件 和 硬件 的 适应 性 、 算 法 的 简洁 
性 ,以 及 与 各 种 平台 的 适应 性 、 密 钥 的 灵活 性 等 。 

安全 性 对 密码 体制 尤为 重要 ,从 前 面 密码 体制 的 攻击 可 以 看 到 ,一 个 安全 的 密码 体制 应 
该 具有 以 下 性 质 。 

(1) 从 密 文 恢复 明文 应 该 是 难 的 ,即使 分 析 者 知道 明文 空间 (如 明文 是 英文 ) 。 

(2) 从 密 文 计算 出 明文 部 分 信息 应 该 是 难 的 。 

(3) 从 密 文 探测 出 简单 却 有 用 的 事实 应 该 是 难 的 ,如 相同 的 信息 被 发 送 了 两 次 。 

从 密码 分 析 者 对 一 种 密码 体制 攻击 的 效果 来 看 , 它 可 能 达到 以 下 结果 。 

(1) 完全 攻破 。 密 码 分 析 者 找到 了 相应 的 密 钥 ,从 而 对 任意 用 同一 密 钥 加 密 的 密 文 恢 
复出 对 应 的 明文 。 
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(2) 部 分 攻破 。 密 码 分 析 者 没有 找到 相应 的 密 钥 ,但 对 于 给 定 的 密 文 ,敌手 能 够 获得 明 
文 的 特定 信息 。 

(3) 密 文 识别 。 如 对 于 两 个 给 定 的 不 同 明文 及 其 中 一 个 明文 的 密 文 ,密码 分 析 者 能 够 
识别 出 该 密 文 对 应 于 哪个 明文 ,或 者 能 够 识别 出 给 定 明文 的 密 文 和 随机 字符 串 。 如 果 一 个 
密码 体制 使 得 敌手 不 能 在 多 项 式 时 间 内 识别 密 文 ,这 样 的 密码 体制 称 为 达到 了 语义 安全 
(Semantic Security) 。 

评价 密码 体制 安全 性 有 不 同 的 途径 ,包括 无 条 件 安 全 性 、 计 算 安 全 性 、 可 证 明 安全 性 。 

(1) 无 条 件 安 全 性 。 如 果 密 码 分 析 者 具有 无 限 的 计算 能 力 ,密码 体制 也 不 能 被 攻破 , 那 
么 这 个 密码 体制 就 是 无 条 件 安全 的 。 例 如 ,只 有 单个 的 明文 用 给 定 的 密 钥 加 密 , 移 位 密码 和 
代 换 密码 都 是 无 条 件 安 全 的 。 一 次 一 密 加 密 (One-Time Pad Cipher) 对 于 唯 密 文 攻击 是 无 
条 件 安全 的 ,因为 敌手 即使 获得 很 多 密 文 信息 ,具有 无 限 的 计算 资源 ,仍然 不 能 获得 明文 的 
任何 信息 。 如 果 一 个 密码 体制 对 于 唯 密 文 攻击 是 无 条 件 安全 的 , 则 称 该 密码 体制 具有 完善 
保密 性 。 如 果 明 文 空间 是 自然 语言 ,所 有 其 他 的 密码 系统 在 唯 密 文 攻击 中 都 是 可 破 的 ,因为 
只 要 简单 地 一 个 接 一 个 地 去 试 每 种 可 能 的 密 钥 ,并 且 检 查 所 得 明文 是 否 都 在 明文 空间 中 。 
这 种 方法 称 为 穷 举 攻击 (Brute Force Attack)。 

(2) 计算 安全 性 。 密 码 学 更 关心 在 计算 上 不 可 破译 的 密码 系统 。 如 果 攻 破 一 个 密码 体 
制 的 最 好 算法 用 现在 或 将 来 可 得 到 的 资源 都 不 能 在 足够 长 的 时 间 内 破译 ,这 个 密码 体制 被 
认为 在 计算 上 是 安全 的 。 目 前 还 没有 任何 一 个 实际 的 密码 体制 被 证 明 是 计算 上 安全 的 , 因 
为 我 们 知道 的 只 是 攻破 一 个 密码 体制 的 当前 的 最 好 算法 ,也 许 还 存在 一 个 我 们 现在 还 没有 
发 现 的 更 好 的 攻击 算法 。 实 际 上 ,密码 体制 对 某 一 种 类 型 的 攻击 (如 穷 举 攻击 ) 在 计算 上 是 
安全 的 ,但 对 其 他 类 型 的 攻击 可 能 在 计算 上 是 不 安全 的 。 

(3) 可 证 明 安 全 性 。 另 一 种 安全 性 度量 是 把 密码 体制 的 安全 性 归 约 为 某 个 经 过 深入 研 
究 的 数学 难题 。 例 如 ,如 果 给 定 的 密码 体制 是 可 以 破解 的 ,那么 就 存在 一 种 有 效 的 方法 解决 
大 数 的 因子 分 解 问题 ,而 因子 分 解 问题 目前 不 存在 有 效 的 解决 方法 ,于 是 称 该 密码 体制 是 可 
证 明 安 全 的 , 即 可 证 明 攻破 该 密码 体制 比 解 决 大 数 因子 分 解 问题 更 难 。 可 证 明 安全 性 只 是 
说 明 密码 体制 的 安全 与 一 个 问题 是 相关 的 ,并 没有 证 明 密 码 体制 是 安全 的 。 可 证 明 安 全 性 
有 时 候 也 被 称 为 归 约 安全 性 。 


2.2 传统 密码 体制 


传统 密码 体制 也 称 为 古典 密码 体制 ,这 些 加 密 方法 大 多 比较 简单 ,用 手工 或 机 械 操作 即 
可 实现 加 解密 。 现 在 ,破译 Vigenere 密码 只 是 密码 课 上 的 一 个 简单 练习 。 然 而 ,研究 这 些 
密码 的 原理 ,对 于 理解 、 构 造 和 分 析 现 代 密码 都 是 十 分 有 益 的 。 古 典 密码 的 基本 设计 思想 是 
现代 密码 的 设计 基础 ,在 现代 密码 学 中 具有 一 定 的 意义 。 传 统 密码 体制 又 分 为 置换 密码 和 
代 换 密码 两 种 。 


2.2.1 置换 密码 
置换 密码 (Permnutation Cipher) 又 称 为 换 位 密码 (Transposition Cipher) ,是 指 根据 一 定 
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的 规则 重新 排列 明文 ,以 便 打 破 明 文 的 结构 特性 。 置 换 密码 的 特点 是 保持 明文 的 所 有 字符 
不 变 , 只 是 利用 置换 打 乱 了 明文 字符 的 位 置 和 次 序 。 实 际 上 古 和 希腊 斯 巴 达 人 使 用 的 Scytale 
密码 ,以 及 我 国 古代 的 藏 头 诗 、 藏 尾 诗 等 都 是 采用 置换 密码 方法 。 
这 种 密码 算法 可 以 描述 如 下 : 
设 mn 是 某 固定 的 整数 ,定义 P==C=(Zzo)", 且 由 所 有 {1, 2,…, m} 的 置换 组 成 。 对 
一 个 密 钥 x( 即 一 个 置换 ), 定 义 ei (zi, zo, Xn) 二 (zxw， Zaxw， "Xam )， 且 
dai(y1, yess Ym) = (yl 了 xloo ) ,其 中 天 :是 天 的 逆 置 换 。 
例 2.1 假定 闷 =6, 密 钥 是 以 下 置换 x; 
bh 
和 本 元 


则 道 置换 x ! 为 : 


假定 给 出 明文 : 
shesellsseashellsbytheseashore 
首先 把 明文 分 为 6 个 字母 一 组 : 
shesel lsseas hellsb ythese ashore 
每 6 个 字母 按 置换 函数 x 进行 重 排 ,得 到 相应 的 密 文 : 
EESLSHSALSESLSHBLEHSYEETHRAEOS 

用 r :类 似 地 进行 解密 。 

实际 上 ,置换 密码 是 Hill 密码 的 一 个 特例 。 对 于 一 个 给 定 的 集合 {1，2，…， z2} 的 置换 
Xx, 可 以 定义 相应 的 mXm 置换 阵 上 ;二 {k(i, 站 1 三 i 和 mr,1 志 j 过 nn) ,依据 公 
F 如 果 j 二 (CiD) 


oj 


0 ”其 他 
即 置 换 阵 的 每 一 行 和 每 一 列 有 且 仅 有 一 个 元 素 “1”, 其 余 元 素 都 为 "0”, 对 于 上 述 置换 x 和 


00100 0 0 .100 0 
0 0 0 0 1 0 O00 601 
x ,相应 的 君 换 阵 分 别 为 &==| 1 0990=|1 ”50090|. 
0 .000001 0 0 0 0 1 0 
0 0 0 1 0 0 O00 06000 
0 10 .0.00 001100 


2.2.2 代 换 密码 


代 换 密码 (Substitution Cipher) 是 将 明文 中 的 字符 替换 为 其 他 字符 的 密码 体制 。 按 照 
一 个 明文 字母 是 否 总 是 被 一 个 固定 的 字母 代替 进行 划分 , 它 又 分 为 单字 母 代 换 (Monogram 
Substitution) 密 码 和 多 字母 代 换 (Polygram Substitution) 密 码 。 单 字母 代 换 密码 又 分 为 单 
表 代 换 (Monoalphabetic Substitution) 密 码 和 多 表 代 换 (Polyalphabetic Substitution) 密 码 。 
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1. 单 表 代 换 密码 


单 表 代 换 密码 是 对 明文 的 所 有 字母 都 用 某 个 固定 的 密 文字 母 进行 代 换 。 加 密 过 程 是 从 
明文 字母 表 到 密 文字 母 表 的 一 对 一 映射 , 即 令 明 文 坟 二 mormims…m，, 则 相应 的 密 文 为 c= 
C1) 二 Cocca 二 mo) 了 Gm)fms)…fGm,)。 下 面 分 别 介绍 几 类 简单 的 单 表 代 换 密码 。 
1) 移 位 密码 (Shift Cipher) 
图 2. 2 所 示 为 移 位 密码 的 加 密 和 解密 函数 。 因 为 英文 | ” 疫 ? 了 C=-2%' 对 0<hS25， 
字符 有 26 个 字母 ,可 以 建立 英文 字母 和 模 26 的 剩余 Zs 之 | 宇多 “可 (“+ mod 26, 且 
间 的 对 应 关系 ,如 表 2. 1 所 示 。 对 于 英文 文本 , 则 明文 、 密 | mo 人) 
文 空间 都 可 定义 在 集合 Ze 上。 当然 ,这 种 方法 也 很 容易 图 2.2 英文 移 位 密码 
推广 到 个 字母 的 情况 。 容 易 看 出 , 移 位 密码 满足 密码 系 
统 的 定义 , 即 di (ei (x))==x ,rE Zoe。 














表 2.1 英文 字母 和 模 26 的 剩余 之 间 的 对 应 关系 


















































区 到 医 到 区 到 医 避 医治 区 到 区 二 医 届 医 一 医 王 区 到 区 王 
0 1 3 4 5 6 7 8 9 10 11 12 
N O PF Q R S U 村 WwW X : Zz 
13 14 15 16 17 18 9 20 21 22 23 24 25 


如 果 明 文字 母 和 密 文字 母 被 数字 化 , 且 分 别 表示 为 z+,y, 则 对 每 个 明文 zxE Zx ,加密 后 
为 y 二 (zx 十 k)mod 26。mod 26 意味 着 等 式 左右 两 边 仅 相差 一 个 26 的 倍数 。 
例 2.2 凯撒 (Caesar) 密 码 是 ==3 的 情况 , 即 通 过 简单 地 向 右 移 动 源 字母 表 中 的 3 个 


















































字母 , 则 形成 如 表 2. 2 所 示 的 代 换 字母 表 。 
表 2.2 代 换 字母 表 
a b € d e f g h i j k 1 m 
力 E F G H I J K L M N 0 PP 
n OO P q 基 S t u V w 党 y 各 
Q R S 置 U V 三 X 和 Zz A B C 
若 明文 为 
please confirm receipt 
则 密 文 为 : 


SOHDVH FRQILUP UHFHLSW 


通过 观察 可 以 发 现 , 移 位 密码 是 不 安全 的 ,因为 它 可 被 穷 举 密 钥 搜索 所 破解 : 仅 有 26 
个 可 能 的 密 钥 ,尝试 每 一 个 可 能 的 解密 规则 di , 直到 一 个 有 意义 的 明文 串 被 获得 。 平均 地 
说 ,一 个 密 文 在 尝试 26/2 二 13 次 之 后 ,就 可 以 得 到 破解 以 后 的 明文 信息 。 

可 以 设想 : 如 果 密 文字 母 表 是 用 随机 的 次 序 放置 ,而 不 是 简单 的 相应 于 字母 表 的 偏 移 ， 
密 钥 量 将 大 幅度 增加 。 这 就 是 下 面 要 介绍 的 替换 密码 。 

2) 替换 密码 

另 一 个 众所周知 的 密码 系统 是 蔡 换 密码 ,其 定义 如 图 2. 3 所 示 。 
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设 P=C=Zs, 密 钥 空 间 K 由 所 有 可 能 的 26 个 符号 0,1,…,25 
的 置换 组 成 。 对 每 一 个 置换 xEK 定义 : 


e(z) = x(z) 











则 
dn) = wy 
其 中 ,x 是 x 的 逆 置 换 。 
图 2.3 共 换 密码 
置换 xx 定义 为 ; 
大 [ I 2 | 
人 


替换 密码 的 密 钥 是 由 26 个 字母 的 置换 组 成 的 。 这 些 置 换 的 数目 是 261, 超 过 4.0X 
10”, 是 一 个 非常 大 的 数 。 这 样 , 即 使 对 现代 计算 机 来 说 , 穷 举 密 钥 搜 索 也 是 不 可 行 的 。 然 
而 ,下 面 会 看 到 ,替换 密码 很 容易 被 其 他 的 分 析 方 法 所 破译 。 

显然 ,替换 密码 的 密 钥 (26 个 元 素 的 随机 转换 ) 太 复杂 而 不 容易 记忆 ,因此 实际 中 密 钥 
句子 常 被 使 用 。 密 钥 句 子 中 的 字母 被 依次 填 人 密 文 字母 表 ( 重 复 的 字母 只 用 一 次 ), 未 用 的 
字母 按 自然 顺序 排列 。 

例 2.3 设 密 钥 句子 为 : 

the message was transmitted an hour ago 


源 字母 和 代 换 字母 如 图 2.4 所 示 。 





源 字 母 : abcdefghijklmnopqrstuvwxr yz 
代 换 字母 ，T H E MS AGWRNIDOUBCFJKLPQVXY2Z 


图 2.4 源 字母 和 代 换 字母 











明文 为 : 

please confirm receipt 

密 文 为 : 

CDSTKS EBUARJO JSESRCL 

3) 仿 射 密码 

凯撒 密码 可 能 的 密 钥 数 太 少 ,而 且 从 安全 的 角度 看 ,在 代 换 后 的 字母 系统 中 ,字母 的 次 
序 并 未 改变 , 仅 起 始 位 置 发 生 改变 ,因此 存在 安全 隐患 。 仿 射 密码 能 克服 这 些 弱 点 , 如 
图 2.5 所 示 。 





设 P=C=Zw, 且 K={(a,b) € Zo X Zoo lgcd(a,26) 一 1} ,对 
k 二 (a,b) EEK, 定义: 
et(z) = (az 十 0) mod 26 
di(y) 一 a (yy 一 0) mod 26 








其 中 ,(z,y)€ Zzs。 





图 2.5 仿 射 密码 


在 仿 射 密码 中 ,用 形 如 : 
ei:(X) = (art tb) mod 26 asb GE Los 
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的 加 密 函 数 ,这 些 函 数 称 为 仿 射 函 数 ,所 以 命名 为 仿 射 密码 。 

注意 : 当 a 一 1 时 ,就 变 成 了 移 位 密码 。 

为 了 保证 密 文 可 以 解密 ,必须 要 求 仿 射 函 数 是 双 射 。 换 句 话 说 ,对 任何 yE Zs ,要 使 得 
同 余 方程 ax 十 6 圭 y(mod 26) 有 了 唯一 解 。 数 论 知识 告诉 我 们 , 当 且 仅 当 ged (a,26) 一 
1(gcd(*) 表 示 求 两 个 数 的 最 大 公约 数 的 函数 ) 时 ,上 述 同 余 方 程 对 每 个 y 有 唯一 解 。 

因为 满足 a€ Zos ,gcd(a,26) 二 1 的 a 只 有 12 种 候选 ,对 参数 上 没有 要 求 , 所 以 仿 射 密 
码 总 计 有 12X26 一 312 种 可 能 的 密 钥 。 

例 2.4 假定 &=(7,3),7-: mod 26 二 15, 加 密 函 数 为 we(z) 一 7z 十 3, 则 相应 的 解密 函 
数 为 di(y) 二 15(y 一 3) 二 15y 一 19, 其 中 所 有 的 运算 都 是 在 Zs 中。 容易 验证 ,di (ex(z)) 一 
du(7z 十 3) 一 15(7z 十 3) 一 19 一 xz 十 45 一 19 一 z。 

假设 待 加 密 的 明文 为 hot。 首 先 转化 这 3 个 字母 分 别 为 数字 7、14 和 19。 然 后 加 密 : 














7 3 0 A 
7| 14 | 十 = |23|= |X |(mod 26) 
19 3 6 G 


























最 后 可 得 密 文 串 为 AXG ,采用 解密 函数 进行 类 似 的 计算 ,可 以 恢复 明文 hot。 

至 此 ,可 得 出 结论 : 通常 ,上 述 所 介绍 的 代 换 密码 ( 单 表 代 换 ) 不 能 有 效 抵抗 密码 攻击 ， 
因为 语言 的 固有 特征 仍 能 从 密 文中 提取 出 来 。 这 种 缺陷 可 以 通过 运用 不 止 一 个 代 换 表 进 行 
代 换 的 方式 ,掩盖 密 文 的 一 些 统计 特征 ,从 而 改进 单 表 代 换 密码 的 安全 性 。 

2. 多 表 代 换 密码 

多 表 代 换 密码 是 以 一 系列 (两 个 以 上 ) 代 换 表 依次 对 明文 消息 的 字母 进行 代 换 的 加 密 方 
法 。 令 明文 字母 表 为 Z,,f 二 (有 i ,fi，…) 为 代 换 序列 ,明文 字母 序列 z= 二 zx2…, 则 相应 的 
密 文字 母 序列 为 c==e (xz) 二 f(z) 二 fi(z1)fs(zxs)…。 车 是非 周期 的 无 限 序列 , 则 相应 的 
密码 称 为 非 周 期 多 表 代 换 密码 。 这 类 密码 对 每 个 明文 字母 都 采用 不 同 的 代 换 表 ( 或 密 钥 ) 进 
行 加 密 , 称 为 一 次 一 密 加 密 , 这 是 一 种 理论 上 唯一 不 可 破 的 密码 。 这 种 密码 完全 可 以 隐蔽 明 
文 的 特点 ,但 由 于 需要 的 密 钥 量 和 明文 消息 长 度 相 同 ,因而 该 方法 难于 广泛 使 用 。 为 了 减少 
密 钥 量 ,在 实际 应 用 中 多 采用 周期 多 表 代 换 密码 , 即 代 换 表 个 数 有 限 ,重复 使 用 。 

有 名 的 多 表 代 换 密 码 有 Vigenere、Beaufort、Running-Key、Verna 和 转 轮 机 (Rotor 
Machine) 等 密码 。Vigenere 密码 如 图 2.6 所 示 。 





设 m 是 某 固定 的 正 整数 ,定义 P= 二 C= 二 K 二 (Zs)" ,对 一 个 密 钥 
二 (有 ， ks，*…， km) ,定义 ， 

@(T1l» Xess Tm) = (Ti 二 hh, XT: 二 Rk, ,Zn 二 kn,) 
且 

di (ys Yass yo) = FO—hs ys — kas 一 下) 
所 有 的 运算 都 在 Zs 中 。 


2.6 Vigenére 密码 











Vigenere 密码 是 由 法 国 密码 学 家 Blaisede Vigenere 于 1858 年 提出 的 , 它 是 一 种 以 移 
位 代 换 (当然 也 可 以 用 一 般 的 字母 代 换 表 ) 为 基础 的 周期 代 换 密码 。 

称 & 一 (Ai ,ko，… sk) 为 长 为 m 的 密 钥 字 (Key Word) 。 密 钥 量 为 22" ,所 以 对 一 个 相当 
小 的 m 值 , 穷 举 密 钥 法 进行 分 析 破 解 也 需要 很 长 的 时 间 。 若 二 5, 则 密 钥 空间 大 小 超过 
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1.1X10" ,手工 搜索 也 不 容易 。 当 明文 串 的 长 度 大 于 m 时 ,可 将 明文 串 按 m 一 组 分 段 ,然后 
再 逐 段 使 用 密 钥 字 &。 

在 Vigenére 密码 中 ,一 个 字母 可 被 映射 到 m 个 可 能 的 字母 之 一 (假定 密 钥 字 包 含 m 个 
不 同 的 字符 ), 所 以 分 析 起 来 比 单 表 代 换 更 困难 。 

例 2.5 设 m==6, 且 密 钥 字 是 CIPHER ,这 相应 于 密 钥 &= 一 (2,8,15,7,4,17)。 假 定 明 
文 串 是 this cryptosystem is not secure。 


首先 将 明文 串 转 化 为 数字 串 , 按 6 个 一 组 分 段 ,然后 模 26“ 加 ”上 密 钥 字 可 得 : 














13 7 8 1 2 24 15 19 14 18 24 
2 8 15 7 4 17 2 8 15 7 二 17 
21 15 23 25 6 8 0 23 8 21 22 15 
18 19 4 12 8 18 13 14 19 18 4 2 
2 8 15 7 4 17 2 8 15 7 4 17 
21 1 19 19 12 9 15 22 8 25 8 19 
20 17 4 
2 8 15 
22 25 19 
相应 的 密 文 串 将 是 : 
VPXZGIAXIVWPUBTTMJPWIZITWZT 


解密 过 程 与 加 密 过 程 类 似 ,不 同 的 是 只 进行 模 26 减 ,而 不 是 模 26 加 。 
2.2.3 传统 密码 的 分 析 


密码 学 的 历史 表明 ,密码 分 析 者 的 成 就 似乎 比 密码 设计 者 的 成 就 更 令 人 惊叹 。 许 多 开 
始 时 被 设计 者 认为 “百年 或 千年 难 破 ” 的 密码 , 没 过 多 久 就 被 密码 分 析 者 巧妙 地 攻破 了 。 在 
第 二 次 世界 大 战 中 ,美军 破译 了 日 本 的 紫 密 ,使 得 日 本 在 中 途 岛 战役 中 大 败 。 一 些 专家 估 
计 , 同 盟国 在 密码 破译 上 的 成 功 至 少 使 第 二 次 世界 大 战 缩短 了 8 年 。 

在 本 节 中 ,讨论 一 些 密码 分 析 的 方法 和 技巧 。 一 般 的 假定 是 攻击 方 知道 所 用 的 密码 系 
统 。 这 个 假设 被 称 为 柯 克 霍 夫 假设 。 当 然 , 如 果 攻 击 方 不 知道 所 用 的 密码 体制 ,这 将 使 得 任 
务 更 加 艰巨 : 分 析 者 不 得 不 尝试 新 的 密码 系统 ,但 这 时 程序 的 复杂 性 基本 上 与 限定 在 一 个 
具体 密码 系统 上 相同 。 因 此 我 们 的 目标 是 设计 一 个 在 柯 克 霍 夫 假设 下 达到 安全 的 系统 。 

简单 的 单 表 代 换 密码 (如 移 位 密码 ) 极 易 破 译 。 仅 统计 标 出 最 高 频 度 字 母 , 再 与 明文 字 
母 表 字 母 对 应 决定 出 移 位 量 ,就 差不多 得 到 正确 解 了 。 一 般 的 仿 射 密码 要 复杂 些 , 但 多 考虑 
几 个 密 文 字母 统计 表 与 明文 字母 统计 表 的 匹配 关系 也 不 难 解 出 。 另 外 , 单 表 代 换 密码 也 很 
容易 用 穷 举 密 钥 搜索 来 破译 。 可 见 ,一 个 密码 系统 安全 的 必要 条 件 是 密 钥 空 间 必须 足够 大 ， 
使 得 穷 举 密 钥 搜索 破译 是 不 可 行 的 ,但 这 不 是 一 个 密码 系统 安全 的 充分 条 件 。 

多 表 代 换 密码 的 破译 要 比 单 表 代 换 密码 的 破译 难得 多 ,因为 在 单 表 代 换 下 ,字母 的 频 
度 、 重 复 字母 模式 、 字 母 结合 方 式 等 统计 特性 除了 字母 名 称 改变 外 ,都 未 发 生变 化 ,依靠 这 些 
不 变 的 统计 特征 就 能 破译 单 表 代 换 。 而 在 多 表 代 换 下 ,原来 明文 中 的 这 些 特性 通过 多 个 表 
的 平均 作用 而 被 隐藏 了 起 来 。 已 有 的 事实 表明 ,用 唯 密 文 攻击 法 分 析 单 表 和 多 表 代 换 密码 
是 可 行 的 ,但 用 唯 密 文 攻击 法 分 析 多 字母 代 换 密码 (如 Hill 密码 ) 是 比较 困难 的 。 分 析 多 字 
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母 代 换 多 用 已 知 明文 攻击 法 。 
1. 统计 分 析 法 
人 类 语言 是 高 度 元 余 的 ,许多 分 析 技 巧 用 到 了 英语 语言 统计 特性 。 通 过 对 大 量 的 小 说 、 
杂志 、 新 闻 报纸 等 汇编 统计 ,人 们 已 经 获得 26 个 字母 的 概率 分 布 ,如 表 2. 3 所 示 。 
表 2.3 26 个 英文 字母 的 概率 分 布 





字母 概率 字母 概率 字母 概率 字母 概率 

A 0.082 H 0.061 0 0.075 V 0.010 
B 0.015 I 0. 070 于 0.019 Ww 0.023 
C 0.028 J 0. 002 Q 0.001 xX 0.001 
D 0. 043 K 0. 008 R 0. 060 于 0.020 
E 0.127 L 0. 040 S 0.063 Z 0.001 
F 0.022 M 0. 024 T 0.091 

G 0.020 N 0.067 U 0.028 





基于 以 上 概率 分 布 ,可 以 把 26 个 字母 分 为 以 下 5 组 。 

(1) E 出 现 的 概率 最 高 ,大 约 为 0. 12。 

(2) T.A、O.I.N、S、H.R 每 个 出 现 的 概率 为 0.06 一 0. 09; 

(3) D、L 每 个 出 现 的 概率 大 约 为 0. 04。 

(4) C.U、M、W.、F、G、Y、P.B 每 个 出 现 的 概率 为 0.015 一 0. 023 。 

(5) VKJX.Q.、Z 出 现 的 概率 最 低 ,每 个 出 现 的 概率 都 少 于 0. 01。 

应 该 强调 的 是 ,这 些 表 并 不 包含 结论 性 的 信息 。 字 母 的 分 布 情况 高 度 依赖 于 明文 文本 
的 类 型 : 诗歌 .标语 ,散文 .科技 论文 等 ,所 以 有 些 出 入 也 是 正常 的 。 

一 般 来 说 ,字母 EE 总 是 最 高 频 的 字母 ,T 排 在 第 二 ,A 或 O 排 在 第 三 ,E、T、A、O、NI、 
S、.R、H 比 任何 其 他 字母 有 高 得 多 的 频率 , 共 约 占 英文 文本 的 70%。 

当 考 虑 位 置 特征 时 ,字母 AI、H 不 常 作为 单词 的 结尾 ,而 EN、R 出 现在 起 始 位 置 比 
终结 位 置 更 少 ,T.O、S 的 出 现在 前 后 基本 相等 。 当 然 , 分 组 的 划分 破坏 了 一 些 位 置 特 征 。 

当 对 单 表 代 换 密码 和 置换 密码 进行 密码 分 析 时 ,密码 分 析 者 就 可 以 利用 该 语言 的 统计 
规律 性 进行 分 析 , 较 容易 得 到 正确 的 解密 结果 ; 而 对 多 表 代 换 密码 分 析 , 则 先 用 Kasiski 测 
试 法 或 重合 指数 法 (Coincidence Index) 决定 密 钥 的 长 度 , 然 后 再 用 改进 的 拟 重合 指数 测试 
法 确定 密 钥 的 具体 内 容 。 

例 2.6 假设 从 仿 射 密码 获得 的 密 文 为 : 


FMXVEDKAPHFERBNDKRXRSREFMORUDSDKDVSHVUFEDKAPRKDLYEVLRHHR 





上 述 仅 有 57 个 密 文字 母 ,但 这 对 仿 射 密码 是 足够 的 。 密 文字 母 出 现 的 频率 是 R(8 次 )， 
D(7 次 ),E(5 次 ),H(5 次 ),K(5 次 ),F(4 次),S(4 次 ),V(4 次 )。 可 以 假定 R 是 e 的 加 密 ， 
且 DD 是 t 的 加 密 , 因 为 e 和 +t 分 别 是 两 个 最 常见 的 字母 。 数 值 化 后 ,有 e (4) 王 17, 且 we(19) 一 
3。 代 入 加 密 函 数 ei (zx) 二 ar 十 b, 可 得 到 一 个 含 两 个 未 知 量 的 线性 方程 组 : 
4a 十 0 一 17 


19a 十 2 一 3 
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这 个 系统 有 了 唯一 的 解 4 二 6,6 二 19( 在 Ze 上 )。 但 这 是 一 个 非法 的 密 钥 ,因为 gcd(a,26) 二 
2 二 1, 所 以 上 面 的 假设 有 误 。 

下 一 个 猜想 可 能 R 是 e 的 加 密 ,E 是 t 的 加 密 . 得 a 二 13, 又 是 不 可 能 的 。 继 续 假 定 R 
是 e 的 加 密 , 且 K 是 t 的 加 密 。 于 是 产生 了 a= 二 3,6 二 5, 这 至 少 是 一 个 合法 的 密 钥 。 接 下 来 
计算 相应 于 k= 二 (3,5) 的 解密 函数 ,然后 解密 密 文 看 是 否 得 到 了 有 意义 的 英文 串 。 容 易 证 明 
这 是 一 个 有 效 的 密 钥 。 

最 后 的 明文 是 : 


algorithms are quite general definitions of arithmetic processes 


2. 明文 - 密 文 对 分 析 法 
Hill 密码 在 唯 密 文 攻击 下 是 很 难 破 的 ,但 很 容易 被 已 知 明文 攻击 所 攻破 。 首 先 假定 确 
定 了 m 的 值 , 且 得 到 至 少 mm 对 不 同 的 mm 元 组 : 
Xj = (ZXyjs Xa», Xm) yj; = (yy Ya Ym) l1<j<m 
已 知 yj 二 ei (zj) ,1 二 三 mm。 如 果 定 义 两 个 mXm 矩阵 X= 二 (zj),Y 二 (ys), 则 有 和 矩阵 方 
程 Y 二 XK,K 是 未 知 密 钥 。 假 定 X 是 可 逆 的 , 则 可 计算 KK 二 X71Y, 因 此 可 攻破 系统 (如 果 
六 不 可 道 ,尝试 其 他 m 个 明文 - 密 文 对 )。 
例 2.7 明文 friday 是 用 Hill 密码 加 密 的 ,m 二 2, 得 到 密 文 POCFKU, 则 有 : 
ex(5, 17) = (15, 16) er(8, 3) = (2, 5) ex(0, 24) = (10, 20) 
从 最 初 两 个 明文 - 密 文 对 ,得 到 如 下 和 气 阵 方程 


15 16 5 17 
一 K 
2 5 8 3 
9 1]f1l5 16 7 19 
K= mod 26 = 
2 15 2 5 8 3 


然后 可 用 第 三 个 明文 - 密 文 对 ,对 K 进行 验证 。 


2.3 现代 对 称 密码 体制 


现代 对 称 密码 体制 按 加 密 形 式 可 分 为 序列 密码 体制 和 分 组 密码 体制 ,本 节 将 重点 介绍 
这 两 种 密码 体制 。 

分 组 密码 是 现代 密码 学 的 重要 分 支 之 一 ,其 主要 任务 是 提供 数据 保密 性 。 在 信息 化 网 
络 时 代 , 越 来 越 多 的 敏感 或 机 密 信息 需要 通过 网 络 传输 、 存 储 和 处 理 , 因 此 ,保密 是 人 们 的 一 

所 谓 分 组 密码 ,通俗 地 说 就 是 数据 在 密 钥 的 作用 下 ,一 组 一 组 等 长 地 被 处 理 , 且 通常 情 
况 是 明文 、 密 文 等 长 。 这 样 做 的 好 处 是 处 理 速度 快 , 节 约 了 存储 资源 ,避免 了 浪费 带宽 。 

分 组 密码 也 是 许多 密码 组 件 的 基础 .很 容易 转化 为 流 密码 .Hash 函数 。 

分 组 密码 的 另 一 个 特点 是 容易 标准 化 ,由 于 其 固有 的 特点 (高 强度 、 高 速率 ,便于 软 硬 件 
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实现 ) 而 成 为 标准 化 进程 的 首选 体制 。 数 据 加 密 标 准 (Data Encryption Standard,DES) 就 是 
首先 成 为 分 组 密码 的 典型 代表 。DES 算法 完全 公开 ,任何 个 人 和 团体 都 可 以 使 用 ,其 信息 
的 安全 性 取决 于 各 自 密 钥 的 安全 性 ,这 正 是 现代 分 组 密码 的 特征 。 

DES 是 曾 被 广泛 使 用 的 分 组 密码 ,遍及 世界 的 政府 .银行 和 标准 化 组 织 把 DES 作为 安 
全 和 认证 通信 的 基础 。DES 算法 的 公开 是 密码 学 史上 里 程 碑 式 的 事件 ,开创 了 密码 学 民间 
应 用 之 先河 ,大 大 推进 了 现代 密码 学 的 进展 。 随 着 计算 技术 的 进步 ,DES 的 56 位 密 钥 长 已 
不 适应 现在 的 商业 应 用 。 

1997 年 4 月 ,美国 国家 标准 与 技术 研究 院 发 起 了 征集 高 级 加 密 标 准 (Advanced 
Encryption Standard,AES) 的 活动 ,许多 优秀 的 算法 被 提交 ,进一步 刺激 了 分 组 密码 设计 理 
论 和 实践 的 进展 。 


2.3.1 DES 


DES 算法 是 1975 年 由 美国 IBM 公司 的 W. Tuchman 和 C. Meyers 首先 提出 的 ,并 于 
1977 年 被 美国 国家 标准 局 公布 为 数据 加 密 标准 的 一 种 分 组 加 密 算法 。DES 的 出 现 是 密码 
学 历史 上 的 一 大 进步 ,推动 了 现代 密码 学 的 快速 发 展 。 

DES 算法 在 商业 等 领域 有 着 广泛 的 应 用 ,如 在 UNIX 操作 系统 中 就 使 用 了 DES 算法 ， 
在 Windows XP 中 使 用 3DES 算法 。DES 曾经 受到 青睐 ,但 近 几 年 来 ,由 于 密码 攻击 技术 
的 提高 ,DES 的 安全 性 已 经 受到 了 严重 的 挑战 ,但 作为 世界 上 首 例 加 密 标准 ,理解 DES 算 
法 思想 还 是 十 分 有 必要 的 。 

1. DES 算法 描述 

DES 是 对 数据 分 组 加 密 的 分 组 密码 算法 .分 组 长 度 为 64 位 。 每 64 位 明文 加 密 成 64 位 
密 文 ,没有 数据 压缩 和 扩展 。 密 钥 长 度 为 56 位 , 若 输 入 64 位 , 则 第 8,16,24,32,40,48,56， 
64 位 为 奇偶 检验 位 ,所 以 ,实际 密 钥 只 有 56 位 。DES 算法 完全 公开 ,其 保密 性 完全 依赖 
密 钥 。 

图 2.7 所 示 为 DES 全 部 16 轮 的 加 /解密 框图 ,其 最 上 方 的 64 位 输入 分 组 数据 ,可 能 是 
明文 ,也 可 能 是 密 文 ( 中 间 密 文 ) , 视 使 用 者 要 做 加 密 或 解密 而 定 。 而 加 密 与 解密 的 不 同 处 仅 
在 于 最 右边 的 16 个 子 密 钥 的 使 用 顺序 不 同 , 加 密 的 子 密 钥 顺序 为 Ki ,Ks,…, Ku; 而 解密 
的 子 密 钥 顺序 正好 相反 ,为 Ke ,Kis ,…, Ki。 

DES 算法 首先 对 输入 的 64 位 明文 X 进行 一 次 初始 置换 IP, 如 图 2.8 所 示 ,以 打 乱 原来 
的 次 序 。 对 置换 后 的 数据 Xe。 分 成 左右 两 部 分 ,左边 记 为 Lu ,右边 记 为 Re .对 R。 施行 在 子 
密 钥 控制 下 的 变换 f, 其 结果 记 为 f(R。 ,Ki) .得 到 的 32 位 输出 再 与 Lo 做 逐 位 异 或 (XOR) 
运算 ,其 结果 成 为 下 一 轮 的 Ri ,Ru 则 成 为 下 一 轮 的 Li 。 对 Li ,Ri 施行 和 Lo,R。 同样 的 过 
程 得 La: ,R, ,如 此 循环 16 次 ,最 后 得 Lis .Ris。 如 图 2.9 所 示 , 对 64 位 数字 Lie,Ris 施 行 初 
始 置换 的 逆 置 换 IP™!' , 即 得 密 文 Y。 运 算 过 程 可 用 以 下 公式 简洁 地 表示 : 

R= LerDAARar 
Ee= R(t = Ly, By 6 

注意 : 在 16 次 循环 后 并 未 交换 Li 和 Ris ,而 直接 将 Ri 和 Li 作为 IP 1 的 输入 ,这 样 做 
使 得 DES 的 解密 和 加 密 完 全 相同 。 在 以 上 过 程 中 只 需 输入 密 文 并 反 序 输入 子 密 钥 ,最 后 获 
得 的 就 是 相应 的 明文 。 
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输入 
始 置 
58 |50|42|34|26|18|10|2 
60 |52|44|36|28|2o| 12| 4 
Zo Ro 
62 | 54|46|38|13o|1232 114|156 
Kl 
64 |56|48|40|132|124|11 18 
57 |49|4|33|1535|117|1911 
Li=Ro RI=L0®f (Ro,K') 59|51|43|35|27|19| 11|3 
Kk 61|53|45|37|29|121|13|5 
63 |55|47|39|31|23|15|7 
LR R11@/ (RLKS) 图 2.8 DES 的 初始 量 换 到 
----- 7 后 
中 
ee sb 
a P| 
Wh 
Lis=Ri4 [YY 40 | 8 |48|16|56|24|64| 32 
=---= 了 -一 -Re 
Qs f 1 39|7|47|15|55|23|6| a 
二 二 pnb 
人 38 | 6 |4|14|54|22|62|30 
一 -一 -~ 
- 37| 5 |45|13|53|21|61|29 
Lie=Ris [Rie=L1s@®f (Ris.Kie)| 
i f 36 | 4|4|12|52|20|60 | 28 
35 | 3 |43|11|51|19|59|27 
逆 初 始 置换 
34|2|42|10|50|18|58 |26 
输出 38 | 1 1 和 19 | 4 | 17 | S57 | 25 
图 2.7 DES 加 密 计算 过 程 图 2.9 DES 的 逆 初 始 置 换 IP- 


以 上 是 对 DES 加 解密 过 程 的 描述 。 把 从 Li_1Ri_1 到 LR; 的 一 次 变换 过 程 称 为 一 轮 加 
密 ,DES 加 密 过 程 要 经 过 16 轮 ,或 者 称 为 16 轮 迭 代 , 每 一 轮 施行 的 变换 完全 相同 ,只 是 每 
轮 输入 的 数据 不 同 。 

初始 置换 IP 及 其 逆 置 换 IP 并 没有 密码 学 意义 ,因为 X 与 IJP(CX)( 或 了 与 IJP  (Y)) 的 一 
一 对 应 关系 是 已 知 的 ,如 X 的 第 58 位 是 IP(X) 的 第 1 位 ,X 的 第 50 位 是 IPCX) 的 第 2 位 。 
它们 的 作用 在 于 打 乱 原来 输入 X 的 ASCII 码 字 划 分 的 关系 ,并 将 原来 明文 的 第 zs ,ze,…， 
za 位 ( 校 验 位 ) 变 成 IP 输出 的 一 个 字 节 。 

了 函数 是 整个 DES 加 密 法 中 最 重要 的 部 分 ,而 其 中 的 重点 又 在 S- 盒 (Substitution 
Boxes) 上 。f 了 函数 可 记 作 f(A, 了 ,其 中 A 为 32 位 输入 ,J 为 48 位 输入 ,在 第 i 轮 A= 
Ri-1,] 二 Ki,K; 为 由 初始 密 钥 (也 称 为 种 子 密 钥 ) 推 导出 的 第 i 轮子 密 钥 ,f(A, 用 输出 为 32 
位 , 它 的 计算 过 程 如 图 2. 10 所 示 。 

将 A 经 过 一 个 选择 扩展 运算 已 (图 2. 11) 变 为 48 位 , 记 作 E(A)。 计 算 ECA) 四 J=B， 
对 B 施行 代 换 S ,此 代 换 由 8 个 代 换 盒 组 成 ,就 是 前 面 说 过 的 S- 盒 。 每 个 S- 盒 有 6 位 输入 ， 
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图 2.10 J(4,J) 的 计算 过 程 


4 位 输出 ,将 B 依次 分 为 8 组 ,每 组 6 位 , 记 作 B=BiBB;B,BsBsBiBs, 其 中 也 作为 第 7) 个 
S- 盒 5; 的 输入 ,Sj 的 输出 为 Cj ,C= 二 C1CsC;CiCsCsCiCs 就 是 代 换 S 的 输出 ,所 以 代 换 S 是 一 
个 48 位 输入 、32 位 输出 的 选择 压缩 运算 ,将 结果 C 再 施行 一 个 置换 P( 图 2. 12), 即 得 f(A， 
刀 ), 其 中 在 第 i 轮 为 f(Ri_1,K;)。 




























































































323|1|2|3 |4T15 16 E 20 21 
4 |5|6|7|s|s 29 12 28 17 
8 |9|10| 1 |12|13 1 15 23 26 
12 | 13 |14|15 |1 |17 5 18 31 10 
16 | 17 | 18 |19|20|21 2 8 24 14 
20 | 21 |22 |23 | 24 | 25 32 27 3 9 
24 | 25 | 26 | 27 | 28 | 29 19 13 30 6 
28 | 29 |30|31|32|1 22 11 4 25 
图 2.11 JJ(4,J) 的 选择 扩展 置换 已 图 2.12 f(A, 了 的 选择 压缩 置换 P 
S- 盒 是 DES 算 法 中 唯一 的 非 线 性 部 件 , 当 然 也 就 是 整个 算法 的 安全 性 所 在 。 它 的 设计 


原则 与 过 程 一 直 因 为 种 种 不 为 人 知 的 因素 所 限 而 未 被 公布 出 来 。 有 些 人 甚至 还 大 胆 猜测 ， 
是 否 设 计 者 故意 在 S- 盒 的 设计 上 留 下 了 一 些 陷 门 CTrapdoor) ,以 便 他 们 能 轻易 地 破解 出 别 
人 的 密 文 。 当 然 以 上 的 猜测 是 否 属 实 ,迄今 仍 无 法 得 知 , 不 过 有 一 点 可 以 确定 , 那 就 是 S- 盒 
的 设计 的 确 相 当 神 秘 。 

每 个 S- 盒 是 有 6 位 输入 、4 位 输出 的 变换 ,其 变换 规则 为 : 取 {0,1,…，,15} 上 的 4 个 置 
换 , 即 它 的 4 个 排列 排 成 4 行 ,得 到 一 个 4X16 矩阵 。 若 给 定 该 S- 盒 的 输入 6051620;545s ,其 
输出 对 应 该 矩阵 第 z 行 第 > 列 所 对 应 的 数 的 二 进 制 表示 ,这 里 z 的 二 进 制 表 示 为 bobs ,y 的 
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二 进 制 表示 为 5616;6;b4 ,这 样 ,每 个 S- 盒 可 用 一 个 4X16 矩阵 来 表示 。8 个 S- 盒 如 表 2. 4 
所 示 。 


表 2.4 DES 的 S- 盒 



















































































列 号 
代 换 函数 5， | 行 号 
0 1 2 3 4 5 6 学 8 9 110|11|12|13|14|15 
0 | 14 4| 13 1 2 | 15 | 11 8 3 | 10 6 | 12 5 9 0 和 
0 | 15 4|14 2 | 13 1 | 10 6 | 12 | 11 9 5 3 8 
2 4 1 | 14 8 | 13 6 2|11|15|12 9 7 3 | 10 5 0 
3| 15 | 12 2 4 9 1 ” 5 111 3|14|10 0 6 | 13 
0 | 15 1 14 6 | 11 3 2|13|12 0 5| 10 
s, 1 13 4 7|15 2 8|14|12 0 1 | 10 | 5 
2 14 和 | 于 | 赵 13 5 12 6 3 2 | 15 
3 | 13 8 | 10 1 3 | 15 4 2 | 11 6 7 | 12 5 | 14 
0 | 10 0 14 6 3|15 5 1|13|12 “|: 更 4 2 
1|13 和 9 3 4 6 | 10 2 8 5|14|12|11|15 1 
2 | 13 6 4 和 8 | 15 3 11 1 2 | 12 5 | 10 | 14 . 
3 1|10|13 0 6 9 8 4|15|14 3|11 5 2 | 12 
0 7| 13 | 14 3 0 6 | 1 2 8 5|11|12 4| 15 
s, 1| 13 11 5 6 | 15 0 3 4 6 2 | 12 1 | 10 | 14 
2 | 10 9 | 对 7|13|15 Y 3 | 14 5 2 
3 3 | 15 0 6 | 10 1 | 13 4 5|11|12 7 2 | 14 
0 2 | 12 4 1 7|10|11 5 3|15| 13 0 | 14 
1|14|11 2 | 12 ?| 2 0 | 15 | 10 9 8 
本 2 4 1|11|10|13 Ld 8 | 15 9 | 12 5 3 0 | 14 
3 | 11 12 和 1 | 14 2 | 13 6 | 15 0 9 | 10 4 5 3 
0 | 12 10 | 15 9 2 6 13 3 4 | 14 村 5 | 11 
1|10|15 4 2 7| 12 9 1|13|14 0 | 11 3 8 
3, 2 9 | 14 | 15 2 8 | 12 3 ? 0 4 | 10 1|13|11 
3 4 3 2 | 12 9 5|15|10|11|14 1 6 0 8| 13 
0 4|11 2|14|15 0 8 | 13 3 | 12 9 7 5 | 10 6 1 
1 1 13 3 和 4 9 1|10|14 3 5|12 2 | 15 8 6 
可 2 1 4|11|13|12 3 7|14|10|15 6 8 0 5 9 
3 6|11|13 8 1 4|10 多 9 5 0 | 15 | 14 2 3 12 
0 | 13 2 8 4 6|15|11 1 | 10 9 3 | 14 5 0 | 12 
1|5|1 8 | 10 3 7 12 5 6 | 11 14 9 
3 2 11 4 1 12 | 14 0 6|10|13|15 3 
3 1|14 学 4|10 8|13|15|12 9 0 3 5 11 
2. 子 密 钥 计算 


DES 子 密 钥 产 生 过 程 ( 图 2. 13) 中 的 输入 为 使 用 者 所 持 有 的 64 位 初始 密 钥 。 在 加 密 或 
解密 时 ,使 用 者 先 将 初始 密 钥 输入 子 密 钥 产生 流程 中 即 可 。 首 先 经 过 密 钥 置换 PC-1 
(Permuted Choice 1) ,如 表 2. 5 所 示 :将 初始 密 钥 的 8 个 奇偶 校 验 位 剔除 掉 , 而 留 下 真正 的 
56 位 初始 密 钥 。 然 后 分 为 两 个 28 位 的 分 组 Cu 和 Du ,再 分 别 经 过 一 个 循环 左 移 函 数 LSi ， 
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得 到 Ci 与 Di , 连 成 56 位 数据 ,再 依 密 钥 置 换 PC-2(Permuted Choice 2) 做 重 排 动作 , 如 
表 2.6 所 示 , 便 可 输出 子 密 钥 Ki ,而 K, 一 Ki 的 产生 方法 以 此 类 推 。 其 中 需要 注意 的 是 , 密 钥 
置换 PC-1 的 输入 为 64 位 ,输出 为 56 位 ; 而 密 钥 置换 PC-2 的 输入 为 56 位 ,输出 为 48 位 。 





64 位 主 密 钥 (Key) 


置换 选择 1 
















































Co (28 位 ) Do (28 位 ) 

循环 左 移 

CI (28 位 ) Di (28 位 ) 
1: 二 置换 选择 2 | (48 位 ) 

循环 左 移 ) 循环 左 移 

Cn (28 位 ) D, (28 位 ) 
置换 选择 2 KK,(48 位 ) 

Ci6 (28 位) Di6 (28 位 ) 
置换 选择 2 Kis (48 位 ) 





2.13 DES 子 密 钥 产生 过 程 


表 2.5 密 钥 置换 PC-1 












































57 49 41 33 25 17 9 

1 58 50 42 34 26 18 
10 2 59 51 43 35 27 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 

7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
21 13 5 28 20 12 4 


表 2.6 密 钥 置换 PC-2 























14 17 1 24 1 5 
3 28 15 6 21 10 

23 19 12 4 26 

16 7 27 20 13 

41 52 31 37 47 55 

30 40 51 45 33 48 

44 49 39 56 34 53 

46 42 50 36 29 32 
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对 每 个 i,1 委 i 和 和 16, 计 算 Ci==LSi(Ci_1),D;==LSi(D;_1),K;==PC-2(C; D,;)。 其 中 ,LS; 
表示 一 个 或 两 个 位 置 的 左 循环 移 位 , 当 i 二 1,2,9,16 时 , 移 一 个 位 置 ; 当 ;i 一 3,4,5,6,7,8， 
10,11,12,13,14,15 时 , 移 两 个 位 置 。 

3. DES 工作 模式 

在 实际 应 用 中 ,DES 是 根据 其 加 密 算法 所 定义 的 明文 分 组 的 大 小 (64 位 ) 将 数据 分 割 成 
若干 64 位 的 加 密 区 块 ,再 以 加 密 区 块 为 单位 ,分 别 进 行 加 密 处 理 。 如 果 最 后 剩 下 不 足 一 个 
区 块 的 大 小 , 称 为 短 块 。 关 于 短 块 的 处 理 方法 一 般 有 填充 法 .序列 密码 加 密 法 、 密 文 挪用 技 
术 。 根 据 数据 加 密 时 每 个 加 密 区 块 间 的 关联 方式 来 区 分 ,可 以 分 为 ECB (Electronic 
Codebook) CBC (Cipher Block Chaining) 、CFB (Cipher Feedback) 和 OFB ( Output 
Feedback)4 种 加 密 模 式 。 

(1) ECB 模式 。ECB 模式 是 分 组 密码 的 基本 工作 模式 。 图 2. 14 所 示 为 ECB 加 密 模式 
示意 图 。 
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图 2.14 ECB 加 密 模式 示意 图 


在 ECB 模式 下 ,每 一 个 加 密 区 块 依次 独立 加 密 , 产 生 独立 的 密 文 区 块 , 每 一 个 加 密 区 块 
的 加 密 结果 均 不 受 其 他 区 块 的 影响 。 使 用 此 种 方式 ,可 以 利用 并 行 处 理 来 加 速 加 /解密 运 
算 , 且 在 网 络 传 输 时 若 任 一 区 块 有 错误 发 生 , 均 不 会 影响 其 他 区 块 传输 的 结果 ,这 是 该 模式 
的 优点 。 

ECB 模式 的 缺点 是 容易 暴露 明文 的 数据 模式 。 在 计算 机 系统 中 ,许多 数据 都 具有 固有 
的 模式 ,这 主要 是 由 数据 结构 和 数据 宛 余 引起 的 ,如 果 不 采取 措施 ,对 于 在 要 加 密 的 文件 中 
出 现 多 次 的 明文 ,此 部 分 明文 若 恰好 是 加 密 区 块 的 大 小 ,可 能 会 产生 相同 的 密 文 , 且 密 文 内 
容 若 遭 剪贴 .替换 ,也 不 易 被 发 现 。 

(2) CBC 模式 。 图 2.15 所 示 为 CBC 加 密 模 式 示意 图 。 第 一 个 加 密 块 先 与 初始 向 量 
(Initialization Vector,IV) 做 异 或 (XOR) 运 算 , 再 进行 加 密 。 其 他 每 个 加 密 区 块 加 密 之 前 ， 
必须 与 前 一 个 加 密 区 块 的 密 文 做 一 次 异 或 运算 ,再 进行 加 密 。 每 一 个 区 块 的 加 密 结果 均 会 
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受到 前 面 所 有 区 块 内 容 的 影响 ,所 以 即使 在 明文 中 出 现 多 次 相同 的 明文 ,也 会 产生 不 同 的 密 
文 。 再 者 , 密 文 内 容 若 遭 剪 贴 替换 ,或 者 在 网 络 传输 过 程 中 发 生 错误 , 则 其 后 续 的 密 文 将 被 
破坏 ,无 法 顺利 解密 还 原 。 这 是 该 模式 的 优点 ,也 是 该 模式 的 缺点 。 
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解密 过 程 


图 2.15 CBC 加 密 模式 示意 图 
注 : 所 有 的 分 组 长 度 均 为 64 位 。 


另外 ,必须 选择 一 个 初始 向 量 , 用 以 加 密 第 一 个 区 块 , 且 在 加 密 作业 时 无 法 利用 并 行 处 
理 来 加 速 加 密 运算 ,但 其 解密 运算 , 因 做 异 或 运算 的 加 密 区 块 结果 已 存在 , 仍 可 以 利用 并 行 
处 理 来 加 速 。 

(3) CFB 模式 。 图 2. 16 所 示 为 CFB 加 密 模 式 示意 图 。 该 模式 可 以 将 区 块 加 密 算法 作 
为 流 密码 加 密 器 (Stream Cipher) 使 用 , 流 密码 加 密 器 可 以 按照 实际 需要 ,每 次 加 密 区 块 大 
小 自 定 (如 每 次 8 个 位 ) ,每 一 个 区 块 的 明文 与 前 一 个 区 块 加密 后 的 密 文 做 异 或 运算 后 成 为 
密 文 。 因 此 ,每 一 个 区 块 的 加 密 结果 也 受 之 前 所 有 区 块 内 容 的 影响 ,也 会 使 得 在 明文 中 出 现 
多 次 相同 的 明文 均 产生 不 相同 的 密 文 。 在 此 模式 下 ,与 CBC 模式 一 样 ,为 了 加 密 第 一 个 区 
块 ,必须 选择 一 个 初始 向 量 ,此 初始 向 量 必须 唯一 ,每 次 加 密 时 必须 不 一 样 , 也 难以 利用 
并 行 处 理 来 加 快 加 密 作业 。 

(4) OFB 模式 。 图 2. 17 所 示 为 OFB 加 密 模 式 的 示意 图 。 

输出 反馈 模式 与 CFB 模式 大 致 相同 ,都 是 每 一 个 区 块 的 明文 与 之 前 区 块 加 密 后 的 结果 
做 异 或 运算 后 产生 密 文 ,不 同 的 是 之 前 区 块 加 密 后 的 结果 为 独立 产生 ,每 一 个 区 块 的 加 密 结 
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密 文 (K 位 ) [一 全 一 ”| 窗 文 (K 位 ) 
明文 (K 位 ) 明文 (K 位 ) 
图 2.16 CFB 加 密 模式 示意 图 
注 , 输入 分 组 初始 化 时 为 一 适当 的 初始 化 向 量 。 
加 密 解密 
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图 2.17 OFB 加 密 模式 示意 图 


注 : 输入 分 组 初始 化 时 为 一 适当 的 初始 化 向 量 。 
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果 不 受 之 前 所 有 密 文 区 块 内 容 的 影响 ,如 果 有 区 块 在 传输 过 程 中 遗失 或 发 生 错误 ,将 不 至 于 
无 法 完全 解密 。 在 此 模式 下 ,为 了 加 密 第 一 个 区 块 ,必须 设置 一 个 初始 向 量 , 否 则 难以 利用 
并 行 处 理 来 加 快 加 密 作业 。 

容易 看 出 ,这 4 种 操作 模式 有 不 同 的 优点 和 缺点 。 在 ECB 模式 和 OFB 模式 中 改变 一 
个 明文 块 将 引起 相应 密 文 块 的 改变 ,而 其 他 密 文 块 不 变 , 在 某 些 情况 下 这 可 能 是 一 个 好 的 特 
性 。 例 如 ,OFB 模式 通常 用 来 加 密 卫 星 传输 。 

另 一 方面 ,如 果 在 CBC 模式 和 CFB 模式 中 改变 一 个 明文 块 ,那么 相应 的 密 文 块 及 其 后 
的 所 有 密 文 块 将 会 改变 ,这 个 特性 意味 着 CBC 模式 和 CFB 模式 适用 于 鉴别 的 目的 。 更 明 
确 地 说 ,这 些 模式 能 用 来 产生 消息 鉴别 码 (MAC) ,MAC 附 在 明文 块 序列 的 后 面 ,用 来 保护 
消息 的 完整 性 。 

4. DES 安全 性 

DES 算法 存在 以 下 几 方 面 的 安全 问题 。 

(1) DES 算法 具有 互补 性 , 即 若 明 文 组 x 和 密 钥 & 分 别 逐 位 取 补 得 bx 和 bk, 且 y= 
DESi(z), 则 by 二 DESby (bx) ,其 中 by 是 > 的 逐 位 取 补 。 这 种 互补 性 使 得 在 选择 性 明文 攻 
击 时 可 以 减少 其 可 能 的 密 钥 数 一 半 ,为 2” 个 。 

(2) 存在 弱 密 钥 和 半 弱 密 钥 。 在 DES 算法 中 至 少 存在 4 个 弱 密 钥 和 至 少 12 个 半 弱 密 
钥 , 如 果 使 用 弱 密 钥 或 半 弱 密 钥 , 则 在 多 重 加 密 时 第 二 次 加 密会 还 原 第 一 次 加 密 。 

(3) 由 于 S- 盒 是 DES 算法 实现 非 线 性 变换 的 关键 ,而 它 的 设计 准则 至 今 还 没有 完全 公 
开 , 因 此 有 许多 密码 学 家 怀疑 它 存在 “ 陷 门 ” ,一旦 知道 这 些 * 隐 门 ”, 就 可 以 破解 DES 算法 。 

(4) DES 算法 的 密 钥 长 度 太 短 , 只 有 56 位 , 密 钥 量 约 为 1.7X10" 个 ,对 抗 穷 举 攻击 法 、 
差分 攻击 法 和 线性 攻击 法 等 的 能 力 较 差 。 

自 1977 年 以 后 的 30 多 年 来 ,尽管 计算 机 硬件 及 破解 密码 技术 的 发 展 日 新 月 异 ,车 撤 开 
DES 的 密码 太 短 、 易 于 被 使 用 穷尽 密 钥 搜索 法 找到 密 钥 的 攻击 法 不 谈 , 在 目前 所 知 攻击 法 
中 ,如 差分 攻击 法 或 线性 攻击 法 ,对 于 DES 的 安全 性 也 仅仅 做 到 了 “质疑 ”的 地 步 , 并 未 从 根 
本 破解 DES。 换 言 之 ,若是 能 用 类 似 Triple-DES 或 是 DESX 的 方式 加 长 DES 密 钥 长 度 , 仍 
不 失 为 一 个 安全 的 密码 系统 。 

由 于 目前 尚 不 存在 一 个 评价 密码 系统 的 统一 标准 和 严格 的 理论 ,人 们 只 能 从 一 个 密码 
系统 抵抗 现 有 的 密码 分 析 手 段 的 能 力 来 评价 它 的 好 坏 。 自 1975 年 以 来 ,许多 机 构 、 公 司 和 
学 者 (包括 美国 国家 安全 局 (NSA) 美国 国家 标准 与 技术 研究 院 、IBM 公司 、Bell 实验 室 和 
一 大 批 著名 的 密码 学 家 ) 对 DES 进行 了 大 量 的 研究 与 分 析 。 

对 DES 的 批评 主要 集中 在 以 下 几 点 。 

(1) DES 的 密 钥 长 度 (56 位 ) 可 能 太 短 。 

(2) DES 的 迭代 次 数 可 能 太 少 。 

(3) S- 盒 中 可 能 有 不 安全 因素 。 

(4) DES 的 一 些 关 键 部 分 不 应 当 保密 。 

比较 一 致 的 看 法 是 DES 的 密 钥 太 短 。 密 钥 量 仅 为 2”( 约 为 107 ) 个 ,不 能 抵抗 穷尽 密 
钥 搜 索 攻 击 ( 所 谓 穷 尽 密 钥 搜索 攻击 是 指 攻击 者 在 得 到 一 组 明文 - 密 文 对 条 件 下 ,可 对 明文 
用 不 同 的 密 钥 加 密 , 直 到 得 到 的 密 文 与 已 知 的 明文 - 密 文 对 中 的 相符 ,就 可 确定 所 用 的 密 
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钥 ) ,事实 证 明 的 确 如 此 。1997 年 1 月 28 日 ,美国 的 RSA 数据 安全 公司 在 RSA 安全 年 会 
上 公布 了 一 项 “秘密 密 钥 挑 战 ? 竟 赛 ,分 别 悬 赏 1000 美元 .5000 美元 和 1 万 美元 用 于 攻破 不 
同 密 钥 长 度 的 RC5 ,同时 还 悬赏 1 万 美元 破译 密 钥 长 度 为 56 位 的 DES。RSA 发 起 这 场 挑 
战 赛 是 为 了 调查 Internet 上 分 布 式 计算 的 能 力 , 并 测试 不 同 密 钥 长 度 的 RC5 和 密 钥 长 度 为 
56 位 的 DES 的 相对 强度 。 美 国 科罗拉多 州 的 程序 员 Rocke Verser 从 1997 年 3 月 13 日 
起 ,用 了 96 天 的 时 间 ,在 Internet 上 数 万 名 志愿 者 的 协同 工作 下 ,于 6 月 17 日 成 功 地 找到 
了 DES 的 密 钥 ,获得 了 RSA 公司 颁发 的 1 万 美元 的 奖励 。 这 一 事件 表明 ,依靠 Internet 的 
分 布 式 计算 能 力 , 用 穷尽 密 钥 搜索 攻击 方法 破译 已 成 为 可 能 。1998 年 7 月 ,电子 前 哨 基 金 
会 (EFF) 使 用 一 台 价 值 25 万 美元 的 计算 机 在 56 小 时 内 破解 了 56 位 的 DES。1999 年 1 月 
RSA 数据 安全 会 议 期 间 , 电 子 前 哨 基金 会 用 22 小 时 15 分 钟 就 宣告 完成 RSA 公司 发 起 的 
DES 的 第 三 次 挑战 。 

最 有 意义 的 分 析 技 巧 就 是 差分 分 析 ( 在 密码 学 中 ,分析 ”和 ”攻击 ”这 两 个 术语 的 含义 相 
同 , 以 后 不 加 区 别 )。 差 分 分 析 (Differential Cryptanalysis) 是 由 Biham 和 Shamir 于 1991 年 
提出 的 选择 明文 攻击 ,可 以 攻击 很 多 分 组 密码 (包括 DES)。 差 分 分 析 涉及 带 有 某 种 特性 的 
密 文 对 和 明文 对 比较 ,其 中 分 析 者 寻找 明文 有 某 种 差分 的 密 文 对 。 这 些 差分 中 的 一 些 有 较 
高 的 重 现 概 率 ,差分 分 析 用 这 些 特征 来 计算 可 能 密 钥 的 概率 ,最 后 定位 最 可 能 的 密 钥 。 据 
说 ,这 种 攻击 很 大 程度 上 依赖 于 S- 盒 的 结构 ,然而 ,DES 的 S- 盒 被 优化 可 以 抗击 差分 分 析 。 
尽管 差分 攻击 比 DES 公布 更 迟 ,IBM 公司 Don Coppersmith 在 一 份 内 部 报告 中 说 :“IBM 
设计 小 组 早 在 1974 年 已 经 知道 差分 分 析 , 所 以 设计 S- 盒 和 置换 变换 时 避 开 了 它 ,这 就 是 
DES 能 够 抵抗 差分 分 析 方 法 的 原因 。 我 们 不 希望 外 界 掌握 这 一 强 有 力 的 密码 分 析 方 法 , 因 
此 这 些 年 来 我 们 一 直 保持 沉默 。 

轮 数 对 差分 分 析 有 较 大 的 影响 。 如 果 DES 仅 使 用 8 轮 , 则 在 个 人 计算 机 上 只 需 几 分 钟 
就 可 破译 密码 。 在 完全 的 16 轮 上 ,差分 分 析 仅 比 穷尽 密 钥 搜索 稍微 有 效 。 然 而 ,如 果 增 加 
到 17 或 18 轮 , 则 差分 分 析 攻 击 和 穷尽 密 钥 搜索 攻击 花费 同样 的 时 间 。 如 果 DES 被 增加 到 
19 轮 , 则 穷尽 密 钥 搜 索 攻击 比 差分 分 析 更 容易 。 这 样 , 尽 管 差 分 分 析 是 理论 可 破 的 ,但 因为 
需 花费 大 量 的 时 间 和 数据 支持 ,所 以 并 不 实用 。 然 而 ,差分 分 析 攻 击 显示 ,对 任何 少 于 16 轮 
的 DES, 在 已 知 明文 攻击 下 比 穷尽 密 钥 搜索 更 有 效 。1993 年 , Masui 介绍 了 线性 攻击 
(Linear Cryptanalysis) ,是 一 种 已 知 明文 攻击 ,用 线性 近似 来 描述 分 组 密码 的 行为 。 线 性 分 
析 证 明 比 差分 分 析 更 有 效 。 事 实 上 ,Matsui 在 试验 性 条 件 下 能 恢复 一 个 DES 密 钥 ,线性 分 
析 能 用 22 个 已 知 明文 破译 8 轮 DES, 用 2 个 已 知 明文 破译 16 轮 DES。 

如 前 所 述 ,DES 已 经 达到 它 的 信任 终点 。1997 年 4 月 15 日 ,美国 国家 标准 与 技术 研究 
院 发 起 征集 AES 算法 的 活动 ,目的 是 确定 一 个 非 保密 的 公开 披露 的 、 全 球 免 费 使 用 的 分 组 
密码 算法 ,用 于 保护 21 世纪 政府 的 敏感 信息 ,并 希望 能 够 成 为 秘密 和 公开 部 门 的 数据 加 密 
标准 。 


2.3.2 AES 


AES 又 称 为 Rijndael 加 密 算法 ,是 由 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 
所 设计 的 。 这 个 标准 用 来 替代 原先 的 DES。 经 过 5 年 的 甄选 流程 ,Rijndael 加 密 算法 被 作 
为 最 终 的 高 级 加 密 标准 候选 算法 ,由 美国 国家 标准 与 技术 研究 院 于 2001 年 11 月 26 日 发 布 
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于 FIPS PUB 197 ,并 在 2002 年 5 月 26 日 成 为 有 效 的 标准 。 

1. AES 算法 描述 

AES 算法 密 钥 长 度 可 分 为 128、192 和 256 位 3 种 情况 ,而 AES 算法 的 输入 数据 都 是 
128 位 ,所 有 运算 都 是 在 一 个 称 为 状态 的 二 维 字 节 数 组 上 进行 。 一 个 状态 由 4 行 组 成 ,每 一 
行 包括 4 个 字 节 。 如 图 2. 18 所 示 ,输入 字 节 数组 ino ,in ,… ,inis ,加 密 或 解密 的 运算 都 在 该 
状态 矩阵 上 进行 ,最 后 的 结果 为 128 位 的 输出 字 节 数组 outo ,outi ，… ,outis 。 
































输入 状态 矩阵 输出 
ino | ins | ins |in> $0,0 | so | sz | sos outo | outs | outs | outi> 
in | ins | in, | inis 0 [5 | ss | 51,s outl | outs | oute | outi3 
一 
ins | ins | in | in So | sa | 5s2,2 | s2,3 out | oute | outio | outls 
ins | in | in |invs S30 | 5 | 53,2 | 53,3 out | outy | out | outis 












































图 2.18 状态 矩阵 及 其 输入 和 输出 


AES 算法 加 密 、 解 密 的 基本 流程 如 图 2. 19 所 示 。 首 先是 对 明文 、 密 文 进行 一 次 密 钥 加 
变换 , 接 下 来 进行 多 轮 的 循环 运算 。 循 环 轮 数 依赖 于 密 钥 长 度 ,如 表 2.7 所 示 。AES 算法 
采用 的 是 替代 /置换 (SP) 网 络 结构 ,每 一 轮 循环 由 以 下 3 层 组 成 。 

(1) 非 线 性 层 : 进行 字 节 代 换 (SubByte) , 即 S- 盒 替换 ,起 到 混淆 的 作用 。 

(2) 线性 混合 层 : 进行 行 变换 运算 (ShiftRow) 和 列 变换 运算 (MixColumn) ,以 确保 多 
轮 之 上 的 高 度 扩散 。 

(3) 密 钥 加 (AddRoundKey) 层 : 轮 密 钥 简单 地 异 或 运算 到 中 间 状 态 上 。 



































































































































明文 (128 位 ) 密 钥 密 文 (128 位 ) 
Kk K 
AddRoundKey | | AddRoundKey 
-| 
1 于 
SubBytes 最 后 一 轮 ? 
时 N 
ShifRows 1 
InvMixColumns 
ExpandedKey 
到 < 
后 一 轮 ? 
人 InvShiftRows 
IN 
MixColumns InvSubBytes 
-| 
1 1 
AddRoundKey —— K; 天 一 AddRoundKey 
了 1 
密 文 (128 位 ) 明文 (128 位 ) 




















图 2.19 AES 算法 加 密 、 解 密 的 基本 流程 
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表 2.7 轮 数 与 密 钥 长 度 的 关系 
密 钥 长 度 Nk 分 组 大 小 Nb 





算法 类 别 ey ee 轮 数 Nr 
AES-128 4 4 10 
AES-192 6 4 12 
AES-256 8 4 14 


加 密 运 算 的 轮 运算 内 部 运算 顺序 与 解密 运算 的 有 所 不 同 ,而 且 加 密 运 算 时 最 后 一 次 循 
环 不 需要 正 向 列 混合 变换 ,解密 运算 时 最 后 一 轮 运算 不 需要 逆 列 混合 变换 。AES 运算 中 每 
轮 运算 用 到 的 轮 密 钥 由 AES 密 钥 进行 密 钥 扩展 运算 (Expanded Key) 获 得 。 

在 AES 每 一 轮 的 运算 中 包括 字 节 代 换 , 行 位 移 变 换 、 列 混合 变换 和 轮 密 钥 加 运算 4 个 
步骤 ,其 中 前 3 个 步骤 又 可 分 为 正 向 算法 (加 密 算法 ) 和 逆向 算法 (解密 算法 ) 。 

(1) 字 节 代 换 (SubBytes)。 正 向 字 节 代 换 是 一 个 非 线 性 的 字 节 代 换 操作 ,通过 使 用 一 
个 称 为 Sbox 的 替换 表 将 状态 中 的 每 一 个 字 节 独立 地 映射 为 一 个 新 的 字 节 。 这 个 Sbox 的 
替换 表 是 由 以 下 两 个 变换 复合 而 成 的 。 

Q@ 对 所 有 的 子 字 节 在 有 限 域 GF(2*) 中 求 其 乘法 着, 且 规定 00 的 逆 为 "00", 01? 的 道 
仍然 为 "01”。 

@ 经 四 处 理 后 的 字 节 值 进行 以 下 表达 式 的 仿 射 变 换 。 


丙 | 站 站 让- 站 下 下 王 也 Zo 1 
yi 1 i O60 0 YE 1| lal | 
3 Wp We 2 | Xs2 0 
ys iT i 0 Oo Ll lvl. |o 
| i i eo oe Os hs 
项 本 汪汪 人 | 二 
六 Ooo lal | 
wh lo ooo iL Ld Lo 





在 这 个 变换 中 ,通过 替换 表 找 到 状态 的 每 个 字 节 对 应 的 多 项 式 ,然后 对 这 个 字 节 进行 蔡 
换 。 例 如 ,“00” 用 63” 替换 ,“63” 用 “fb” 替 换 。 





bo oo O00 1 fe 和 
0 i O01 TW 1 0 hl Io 
bs 六 了 | 有 | | 
0 让 bs| |0 
& lo1o10010||, 请 
bs 00 10 100 1| |6b:| 10 
请 和 bl lo 
六 人 六 0J 


道 字 节 代 换 (InvSubBytes) 的 计算 是 通过 查 逆 Sbox 的 蔡 换 表 进行 字 节 替换 , 即 首先 进 
行道 仿 射 变换 的 替换 运算 ,然后 求 得 输入 字 节 的 乘法 道 。 例 如 ,在 逆 S 变换 表 中 ,“63” 用 
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“00” 替 换 ,“fb” 用 “63” 替 换 。 
(2) 行 位 移 变换 (ShiftRows)。 行 位 移 变换 是 线性 变换 , 它 和 列 混合 运算 相互 影响 ,在 
多 轮 变 换 后 ,使 密码 信息 达到 充分 的 扩散 。 正 向 行 位 移 变换 是 在 状态 矩阵 的 每 个 行 间 进 行 
的 ,是 状态 矩阵 中 的 行 按照 不 同 的 偏 移 量 进行 循环 左 移 运 算 , 第 0 行 循环 左 移 0 字 节 ,第 1 
行 循环 左 移 1 字 节 ,第 2 行 循环 左 移 2 字 节 ,第 3 行 循环 左 移 3 字 节 。 逆 向 行 位 移 变 换 
(InvShiftRows) 与 行 位 移 类 似 , 只 是 位 移 方向 为 循环 右 移 。 
(3) 列 混合 变换 (MixColumns)。 正 向 列 混 合 变换 对 状态 的 每 一 列 进行 操作 。 将 每 一 
列 视 作 一 个 系数 在 GF(2*) 上 的 多 项 式 , 乘 上 一 个 固定 的 多 项 式 cCz) ,然后 模 x 十 1。c(x) 
的 定义 如 下 : 
c(x) = {03}zs 十 {01}z2 十 {01}z 二 {02} 
这 种 运算 可 用 和 矩阵 乘法 来 表示 , 记 5(z) 二 c(z)@a(z), 则 : 
bo 02 03 01 01 ao 
已 ol 02 0 0 aa 
bs» 01 01 02 03 az 
bs 03 01 01 02 as 
由 于 c(zx) 与 x 十 1 互 素 ,因此 c(Cz) 可 逆 , 且 c!1(x)==d(x)=={0B}zx’ 十 {0D})z? 十 {09}zx 十 
{0E})。 道 列 混合 变换 (InvMixColumns) 类 似 于 列 混合 变换 ,只 需 将 c(Cz) 换 成 4(x), 也 就 是 
只 需 将 系数 矩阵 换 成 其 乘法 道 和 矩阵, 即 : 








a] foE oB oD 09] fo 
a|l |o9 oE oB op| ja 
a| |op 09 oF ob| | 
a loB oD 09 oF| Lo, 


(4) 轮 密 钥 加 变换 (AddRoundKey)。 轮 密 钥 加 变换 就 是 将 状态 矩阵 与 当前 轮 的 轮 密 
钥 进 行 异 或 运算 。 轮 密 钥 是 由 初始 密 钥 通过 密 钥 扩 展 获得 , 轮 密 钥 的 长 度 与 状态 矩阵 长 度 
是 相同 的 。 轮 密 钥 加 变换 非常 简单 , 却 能 影响 状态 矩阵 中 的 每 一 位 。 密 钥 编 排 的 复杂 性 和 
AES 的 其 他 阶段 运算 的 复杂 性 确保 了 该 算法 的 安全 性 。 

2. 密 钥 扩展 (Expanded Key) 算 法 


密 钥 扩展 就 是 将 初始 密 钥 通 过 一 个 密 钥 扩展 函数 扩展 后 ,得 到 每 一 轮 加 密 、 解 密 所 
使 用 的 轮 密 钥 。 因 为 AES 算法 要 求 进 行 一 次 初始 密 钥 加 法 ,并 且 每 一 轮 都 需要 一 个 轮 密 
钥 , 所 以 所 需要 的 轮 密 钥 位 的 总 数 等 于 128X (Nr 十 1)。 因 此 ,如 果 密 钥 长 度 为 128 位 , 轮 
数 为 10( 即 Nr 二 10) ,那么 就 需要 1408 位 的 轮 密 钥 。 经 过 密 钥 扩 展 后 ,最 高 位 的 128 位 
分 组 就 作为 初始 密 钥 加 法 的 轮 密 钥 ,扩展 密 钥 的 下 一 个 128 位 分 组 作为 第 一 轮 的 轮 密 
钥 , 以 此 类 推 。 最 后 ,最 低位 的 128 位 作为 最 后 一 轮 的 轮 密 钥 。 解 密 时 的 轮 密 钥 顺序 刚 
好 与 加 密 时 相反 ,也 就 是 加 密 时 最 后 一 轮 的 128 位 轮 密 钥 就 是 解密 时 的 第 一 轮 密 钥 ,其 
他 顺序 以 此 类 推 。 

扩展 密 钥 是 以 4 字 节 字 为 元 素 的 一 维 阵 列 ,其 中 前 Nk( 密 钥 长 度 ) 个 字 为 用 户 输入 密 
钥 , 后 面 的 每 个 字 都 由 它 前 面 的 字 经 过 递归 方式 定义 。 具 体 算 法 分 Nk 三 6 和 Nk>6 两 种 
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情况 ,这 两 种 情况 略 有 不 同 ,具体 如 下 。 


(1) 


当 Nk 三 6 时 , 即 AES 算法 密 钥 长 度 为 128 和 192 位 时 ,其 程序 如 下 。 


KeyExpansion (byte Key[ 4 * Nk],word W[Nb* (Nr +1)]) 


! 


! 
(2) 


for (i=0; i<Nk; i++) 
W[i] = (Key[4 * i],Key[4*i+1],Key[4*i+2],Key[4*i+3]); 
for (i=Nk; i<Nbx (Nr+1); i++) 
{ 
temp= W[i—1]; 
if (i%Nk= =0) 
temp = SubByte( RotByte( temp))“Rcon[ i/Nk]; 
W[i] = W[i— Nk]^temp; 


当 Nk>6 时 , 即 AES 算法 密 钥 长 度 为 256 位 时 ,其 程序 如 下 。 


KeyExpansion (byte Key[4 * Nk],word W[Nb* (Nr +1)]) 


{ 


for (i=0; i<Nk; i++) 
W[i] = (Key[4 x* i],Key[4*i+1],Key[4*i+2],Key[4*i+3]); 
for (i=Nk; i<Nb*x (Nr +1); i++) 
{ 
temp = W[i—1]; 
if (i% Nk= =0) 
temp = SubByte(RotByte(temp) )^Rcon[ i/Nk]; 
else if (i%Nk= =4) 
temp = SubByte( temp); 
W[i] = W[i— Nk]"temp; 


在 上 面 的 子 程序 中 ,KeyL4 * Nk] 为 初始 密 钥 ,作为 以 字 节 为 元 素 的 一 维 阵列 ; SubByte 函 
数 对 输入 用 Sbox 进行 字 节 代 换 ; RotByte 函数 对 输入 字 节 [ao ,a ,az ,as ] 进 行 循环 左 移 一 个 字 
节 , 得 到 [a ,az ,as ,ao]; Reon[ 门 是 轮 常量 ,其 定义 为 [RC[ 引 ,100},{00},{00)]J, 其 中 i 是 从 1 
开始 ,RC[ 站 表示 在 有 限 域 GF(2*) 中 z 一 的 值 。 表 2. 8 所 示 为 前 10 个 RC 的 十 六 进 制 值 。 


i 


表 2.8 RC[ 门 部 分 值 





RC[i] 


01 02 04 08 10 20 40 80 1B 36 


3. AES 安全 性 

AES 加 密 算 法 自 2002 年 成 为 有 效 标准 至 今 ,除了 一 次 旁 道 攻击 成 功 外 , 尚 无 其 他 成 功 
破解 的 报道 ,AES 算法 的 安全 性 到 目前 为 止 是 可 靠 的 。 当 然 ,针对 AES 密码 系统 ,不 断 有 
新 的 攻击 方法 提出 ,包括 功 耗 分 析 、 积 分 攻击 和 旁 道 攻击 等 ,但 这 些 攻击 尚 不 能 对 AES 构成 
实际 的 威胁 。 其 中 , 旁 道 攻击 不 攻击 密码 本 身 ,而 是 攻击 那些 在 不 安全 系统 (会 在 不 经 意 间 
泄露 信息 ) 上 的 加 密 系统 。 
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2.3.3 序列 密码 


1. 序列 密码 体制 原理 
根据 图 2. 1 所 示 的 保密 通信 系统 模型 , 信 源 可 以 是 报 文 .语言 图像、 数据 等 ,一 般 都 是 
经 编码 器 转化 为 0,1 序列 ,加 密 是 针对 0,1 序列 进行 的 。 
序列 密码 将 明文 消息 序列 区 二 ma ,m ，，,… ,m, 用 密 钥 流 序列 二 ,ks，…,k, 逐 位 加 密 ， 
得 密 文 序列 c 二 ci ,cs，,…,c,, 其 中 加 密 变 换 为  : 
ci = Ei(m;) 
记 作 c==Ei(m) ,其 解密 变换 为 De : 
172 = Di(c;) 
记 作 m= Di(c)。 
在 序列 密码 中 ,加 密 变 换 常 采用 二 元 加 法 运算 , 即 : 
c=m: 人 OE mi 一 ci OE 
图 2. 20 所 示 为 一 个 二 元 加 法 流 密码 系统 的 模型 。 其 中 为 密 钥 序列 生成 器 的 初始 密 
钥 ( 也 称 种 子 密 钥 )。 为 了 密 钥 管 理 的 方便 ,k 一般 较 短 , 它 的 作用 是 控制 密 钥 序列 生成 器 生 
成 长 的 密 钥 流 序列 =k ,ks ，…。 




































































| | | 
1 | 明文 序列 1 1 ! 
| [| 1 
| bb 1 
上 ci 111 1 
L TT 1 
| @ 1 1 1 
大 1 1 | 
1 | 密 钥 序列 生成 器 双 全 | 明文 序列 | ， 

| 
| | | 1[ 密 铀 序列 生成 器 | 所 ! 
1 | 1 
| K 1 | 
1 | 密 钥 源 | <!), | 片 | | 
1 安全 信道 | 1 | 
: | 

加 密 过 程 解密 过 程 


图 2.20 二 元 加 法 流 密码 系统 的 模型 


恢复 明文 的 关键 是 知道 密 钥 流 &;。 如 果 非 法 接收 者 知道 了 密 钥 流 ; ,当然 也 就 能 从 密 
文 ci 恢复 出 明文 mw; ,因此 密码 系统 的 安全 性 取决 于 密 钥 流 的 性 能 。 当 密 钥 流 序列 是 完全 随 
机 序列 时 ,该 系统 便 被 称 为 完善 保密 系统 , 即 不 可 破 的 系统 。 然 而 ,在 通常 的 序列 密码 中 ,加 
密 、 解 密 用 的 密 钥 序列 是 伪 随 机 序列 ,一般 是 由 线性 移 位 寄存 器 和 非 线性 密 钥 生成 器 组 合 而 
成 。 线 性 移 位 寄存 器 具有 序列 周期 长 .实现 简单 和 速度 快 等 优点 ,但 是 它 是 可 以 预测 的 , 密 
码 强度 较 低 ; 非 线 性 密 钥 生 成 器 主要 提高 密 钥 序列 的 不 可 预测 性 、 随 机 性 和 复杂 性 ,提高 抗 
各 种 密码 攻击 的 能 力 。RC4、A5 和 SEAL 等 算法 都 是 属于 序列 密码 体制 ,下 面 以 RC4 算法 
为 例 进行 说 明 。 

2. RC4 算法 

RC4 是 由 美国 麻 省 理工 学 院 的 Ron Rivest 在 RSA 数据 安全 公司 开发 的 可 变 密 钥 长 度 
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的 流 密码 ,是 世界 上 普遍 使 用 的 流 密码 之 一 。RC4 的 一 个 优点 是 软件 实现 很 容易 , 它 不 仅 
已 经 应 用 于 Microsoft Windows、Lotus Notes 等 软件 中 ,而 且 用 于 安全 套 接 字 层 (Secure 
Socket Layer,SSL) 保 护 因 特 网 的 信息 流 。RC4 是 一 种 基于 非 线性 数据 表 变 换 的 流 密 码 , 它 
以 一 个 足够 大 的 数据 表 S 为 基础 ,对 表 进 行 非 线性 变换 ,产生 非 线 性 的 密 钥 流 序列 。RC4 
数据 表 的 大 小 随 着 参数 的 变化 而 变化 。 通 常 取 n 二 8, 此 时 总 共 可 以 生成 2 个 元 素 的 数 
据 表 , 主 密 钥 的 长 度 至 少 为 40 位 。RC4 密 钥 流 的 每 个 输出 都 是 数据 表 S 中 的 一 个 随机 元 
素 。 密 钥 流 的 生成 需要 两 个 过 程 : 密 钥 调度 算法 和 伪 随 机 生成 算法 。 前 者 用 于 设置 数据 表 
S 的 初始 排列 ,后 者 用 于 选取 随机 元 素 并 修改 S 的 原始 排列 顺序 。 
对 密 钥 调度 算法 初始 化 数据 表 S, 有 S(i)==i (0 二 i 过 255)( 一 个 字 节 )。 通 过 选取 一 系 
列 数字 ,并 加 载 到 密 钥 数据 表 (0), &(1),，…, k(255), 其 操作 过 程 可 用 以 下 伪 代 码 来 
描述 。 
for i from 0 to 255 
S[i] := i 
endfor 
让 
for i from 0 to 255 
j := (j + S[i] + K[i mod keylength]) mod 256 
swap values of S[i] and S[j] 
endfor 
数据 表 S 通过 以 下 步骤 实现 随机 化 。 
(1) 对 表 S 进行 线性 填充 , 即 S(0)=0, S(1)=1, S(2)=2, …, S(255) 二 255。 
(2) 用 种 子 密 钥 填充 另 一 个 256 字符 的 K 表 k(0), k(1),…, k(255), 如 果 密 钥 的 长 
度 小 于 开 的 长 度 , 则 依次 重复 填充 ,直至 将 K 填 满 。 
(3) 了 一 0。 
(4) for 0 入 i 委 255。 
j=0+S)+K(G mod keylength))mod 256 。 
@ 交换 SGD) 和 SO)。 
当 密 钥 调 度 算 法 完成 了 S 的 初始 化 , 伪 随 机 生成 算法 就 开始 工作 ,为 密 钥 流 选取 字 节 ， 
从 S 中 选取 随机 元 素 , 并 修改 S 以 便 下 一 次 选取 ,选取 过 程 取 决 于 索引 i 和 j 。 其 操作 过 程 
可 用 以 下 伪 代 码 来 表示 。 
Ee 
人 
while GeneratingOutput: 
i := (i + 1) mod 256 
j := (j + S[i]) mod 256 
swap values of S[i] and S[j] 
K := S[(S[i] + S[j]) mod 256] 
output K 
endwhile 
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选取 密 钥 流 的 每 个 字 ( 一 个 字 节 ) 的 步骤 如 下 。 
(1) i=0, j=0。 

(2) i=(i+1)mod 256。 

(3) j=0+5(i))mod 256。 

(4) 交换 SG 和 S(j)。 

(5) 输出 密 钥 字 K 二 SC((S(?) 二 SG))mod 256)。 


2.4 非 对 称 密码 体制 


非 对 称 密码 体制 又 称 为 公 钥 密 码 体制 ,其 主要 特征 是 加 密 密 钥 可 以 公开 ,但 不 会 影响 到 解 
密 密 钥 的 机 密 性 。1976 年 ,W. Diffie 和 N. E. Hellman 在 IEEE Transactions on information 
theory 上 发 表 了 题 为 “密码 学 的 新 方向 "的 论文 ,该 论文 首次 提出 了 非 对 称 密码 体制 概念 , 开 
创 了 现代 密码 学 研究 的 新 领域 ,对 密码 学 的 发 展 有 着 极为 重要 的 意义 。 非 对 称 密码 体制 可 
用 于 保护 数据 的 机 密 性 、 完 整 性 和 身份 识别 。 

非 对 称 密码 体制 的 典型 特点 如 下 。 

(1) 在 非 对 称 密码 体制 中 ,有 一 对 密 钥 (pk,sk) ,其 中 pk 是 公开 的 , 即 公开 密 钥 ,也 就 是 
说 ,这 个 密 钥 可 以 让 每 个 人 都 知道 。 另 一 个 密 钥 sk 是 保密 的 ,这 个 密 钥 称 为 私人 密 钥 ,简称 
私 钥 。 

(2) 在 非 对 称 密码 体制 中 ,进行 加 密 和 解密 时 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 ,这 里 要 
求 加 密 密 钥 和 解密 密 钥 不 能 相互 推导 出 来 或 很 难 推导 出 来 。 

(3) 一 般 来 说 , 非 对 称 密码 体制 都 是 建立 在 严格 的 数学 基础 上 ,公开 密 钥 和 私人 密 钥 的 
产生 是 通过 数学 方法 产生 的 , 公 钥 算法 的 安全 性 是 建立 在 某 个 数学 问题 很 难 解决 的 基础 
上 的 。 

下 面 通过 一 个 例子 ,简单 介绍 一 下 非 对 称 密码 体制 中 的 一 个 应 用 。 现 在 Alice 和 Bob 
要 用 公 钥 密码 体制 进行 通信 (Alice 的 密 钥 对 为 KAP 和 KAS, 而 Bob 的 密 钥 对 为 KBP 和 
KBS) 。 

(1) Alice 和 Bob 互相 拥有 对 方 的 公 钥 ,但 都 不 知道 对 方 的 私 钥 。 

(2) Alice 用 自己 的 私 钥 KAS 加 密 的 信息 ,任何 人 都 可 以 用 其 对 应 的 公 钥 KAP 进行 解 
密 。Bob 只 要 能 用 KAP 正常 解密 这 段 信息 ,就 可 以 断定 这 个 信息 是 Alice 发 出 的 ,而 Alice 
也 不 能 否认 她 发 出 的 这 段 信 息 。 因 为 只 有 Alice 拥有 自己 的 私 钥 , 而 只 有 用 Alice 的 私 钥 加 
密 的 信息 才能 用 Alice 自己 的 公 钥 解密 。 这 实现 了 Alice 对 其 发 送 的 信息 的 不 可 否认 性 及 
收 信者 对 Alice 的 身份 认证 。 

(3) Alice 用 Bob 的 公 钥 KBP 加 密 一 段 信息 ,这 段 信息 只 有 Bob 本 人 才能 打开 ,因为 只 
有 Bob 才 拥 有 自己 的 私 钥 KBS, 而 只 有 Bob 自己 的 私 钥 才能 解密 用 Bob 的 公 钥 加 密 的 信 
息 。 这 实现 了 信息 传送 的 保密 性 。 

(4) Alice 用 自己 的 私 钥 对 资料 P 加 密 后 形成 密 文 C1, 再 用 Bob 的 公 钥 加 密 密 文 C1， 
形成 C2, 并 将 C2 传送 给 Bob。Bob 用 自己 的 私 钥 可 以 解密 出 Cl ,并 用 Alice 的 公 钥 解密 出 
原 资料 P。 这 时 Bob 可 以 安全 地 接收 到 资料 P, 即 他 可 以 确认 该 资料 确实 来 自 Alice, 并 在 
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中 途 未 被 更 改过 。 因 为 其 他 人 没有 Bob 的 私 钥 KBS ,无 法 解密 出 C1, 即 使 能 解密 出 C1, 且 
更 改 了 资料 P, 也 无 法 再 还 原 成 C1 ,因为 第 三 方 没有 Alice 的 私 钥 。 从 这 方面 讲 , 即 使 Bob 
也 无 法 更 改 密 文 Cl 的 内 容 ,从 而 否认 接收 到 的 原 信息 ,因为 他 也 没有 Alice 的 私 钥 。 这 实 
现 了 信息 的 完整 性 验证 。 
综 上 所 述 , 公 钥 密码 体制 可 以 完成 以 下 工作 : 资料 的 保密 性 、 资 料 的 完整 性 、 发 送 者 的 
不 可 否认 性 和 对 发 送 者 的 认证 , 即 加 密 模型 和 认证 模型 ,如 图 2. 21 所 示 。 
Bob 的 公 和 钥 Bob 的 私 钥 














明文 Alice 密 文 | Bob 


”| 加密 解密 | 中文 

















(a) 加 密 模型 


Alice 的 私 钥 Alice 的 公 钥 








Alice 密 文 Bob 
有 日 一 | -一 一 一 | -一 一 日 
胃 文 加 密 密 : 明文 


(b) 认证 模型 
图 2.21 非 对 称 密码 体制 中 的 两 种 模型 




















非 对 称 密码 体制 根据 其 所 依据 的 数学 难题 一 般 可 以 分 为 三 类 : 大 整数 分 解 问 题 类 、 离 
散 对 数 问题 类 和 椭圆 曲线 类 。 有 时 也 把 椭圆 曲线 类 归 为 离散 对 数 类 。 非 对 称 密码 体制 的 出 
现 是 现代 密码 学 的 一 个 重大 突破 ,给 计算 机 网 络 安全 带 来 了 新 的 活力 ,为 解决 计算 机 网 络 安 
全 提供 了 新 的 理论 和 技术 基础 。 这 里 重点 介绍 两 种 有 代表 性 的 非 对 称 密码 体制 : RSA 密 
码 体制 和 椭圆 曲线 密码 体制 。 


2.4.1 RSA 非 对 称 密码 体制 


1977 年 , 即 Diffie-Hellman 的 论文 发 表 一 年 后 ,美国 麻 省 理工 学 院 的 3 名 教授 Ron 
Rivest、Adi Shamir 和 Leonard Adelman 根据 这 一 想法 开发 了 一 种 实用 加 密 方法 ,这 就 是 
RSA, 它 是 以 3 位 开发 人 员 姓 的 首 字母 大 写 命名 的 。 该 体制 既 可 用 于 加 密 ,又 可 用 于 数字 签 
名 , 易 懂 、 易 实现 ,是 目前 仍然 安全 且 逐 步 被 广泛 应 用 的 一 种 体制 。 国 际 上 的 一 些 标准 化 组 
织 ISO ITU 及 SWIFT 等 均 已 接受 RSA 体制 作为 标准 。 在 Internet 中 所 采用 的 PGP 加 密 
中 也 将 RSA 作为 传送 会 话 密 钥 和 数字 签名 的 标准 算法 。 

1. RSA 公 钥 体制 的 基本 原理 


RSA 体制 基于 “大 数 分 解 和 素数 检测 ”这 一 著名 的 数论 难题 : 将 两 个 大 素数 相 乘 十 分 
容易 ,但 将 该 乘积 分 解 为 两 个 大 素数 因子 却 极端 困难 。 素 数 检测 就 是 判定 一 个 给 定 的 正 整 
数 是 否 为 素数 的 过 程 。 

在 RSA 中 ,公开 密 钥 和 私人 密 钥 是 一 对 大 素数 (100 一 200 位 十 进 制 数 或 更 大 ) 的 函数 。 
在 使 用 RSA 公 钥 体制 之 前 ,每 个 参与 者 必须 产生 一 对 密 钥 。 

(1) RSA 密码 体制 的 密 钥 产生 。 
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随机 选择 两 个 不 同 的 大 素数 p 和 g ,计算 乘积 n 一 pXg。 

@ 计算 其 欧 拉 函数 值 8(n)= 二 (p 一 1)(g 一 1)。 

@ 随机 选取 加 密 密 钥 &, 使 和 更 (z) 互 素 , 即 保证 gcd(k,B(n)) 二 1, 其 中 gcd(*) 是 求 
两 个 数 的 最 大 公约 数 函 数 , 从 而 在 模 @(z) 意 义 下 ,有 逆 元 。 因 为 与 @(z) 互 素 的 数 可 能 不 
止 一 个 ,所 以 的 值 是 随机 选择 的 。 可 以 先 设 为 一 个 初 值 ,并 且 二 B(n), 然 后 采用 试探 
法 求 出 满足 条 件 的 有 。 可 以 令 sk 二 (或 pk 二 k), 这 里 要 注意 的 是 ,如 果 选取 一 个 密 钥 的 值 
大 于 Bln) ,就 不 能 正确 求 出 另 一 个 密 钥 了 。 

@ 利用 欧 几 里 德 扩展 算法 计算 sk 的 逆 元 , 即 解密 密 钥 pk, 以 满足 : 

sk» pk= 1 mod Bn) 
即 ; 
pk = sk mod $B(n) 

注意 : pk 和 nn 也 互 素 。pk 和 nn 是 公开 密 钥 ,sk 是 私人 密 钥 。 当 不 再 需要 两 个 素数 pp 
和 g 时 ,应 该 将 其 丢弃 ,但 绝 不 可 以 泄密 。 

(2) RSA 体制 的 加 密 。 在 对 消息 m 进行 加 密 时 ,首先 将 它 分 解 为 比 n 小 的 数据 分 组 
mi; 即 4 二 mm2a…mi…。 然 后 用 每 块 明文 自 乘 sk 次 寡 , 再 按 模 求 余 数 ,就 可 以 得 到 密 文 。 

密 文 为 : 

C; = mi modn 

密 文 序列 为 : 

C 一 CC Ci 

(3) RSA 体制 的 解密 。RSA 体制 的 解密 与 加 密 算法 基本 相同 ,将 每 块 密 文 自 乘 pk 次 
备 , 青 按 模 n 求 余数 ,就 可 以 得 到 明文 。 

明文 为 : 

mi = CP mod n 
明文 序列 为 : 
m= 17217722 "Mm 

可 以 证 明 , 解 密 变换 是 加 密 变 换 的 逆 变 换 。 

实际 上 ,由 假设 pk 一 sk mod 9(z) 可 知 , 存 在 一 个 正 整 数 ,使 得 pk， sk 二 rB(n) 十 1 
成 立 , 从 而 zz 一 poreo+l。 因 为 有 限 群 Z; 中 元 素 个 数 为 B(p) 个 , 故 由 Lagrange 定理 可 
知 , 当 gcdl(m,p) 关 PP 时 ,m1 二 mT 二 ms m99 三 m(mod p); 而 当 gcdCm 力 ) 一 
pb 时 ,两 边 都 为 0, 该 式 也 成 立 。 从 而 m1 三 m(mod p) 对 任意 mx 都 成 立 。 

同 理 可 证 m***! 圭 m(mod g)。 

可 得 mw*1!1 圭 m(mod n)。 

所 以 mx (mod n) 三 m, 即 解密 变换 就 是 加 密 变 换 的 逆 变 换 。 

RSA 使 用 了 大 数 的 指数 运算 , 选 定 大 整数 nn 后 ,明文 ( 密 文 ) 分 组 是 小 于 nn 的 二 进 制 值 。 
显然 ,由 pk 无 法 算出 sk, 明 文 发 送 方 和 接收 方 都 必须 知道 n 的 值 ,发 送 方 知道 sk 的 值 ,而 
接收 方 只 知道 pk 的 值 , 从 而 公开 密 钥 为 KU 一 {pk,z} ,私人 密 钥 为 KR= {sk.n)。 

下 面 举 一 个 例子 说 明 RSA 的 加 密 和 解密 过 程 。 

(1) 选择 两 个 素数 一 47,q 一 61。 

(2) 计算 n=p， gq 一 2867。 
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(3) 计算 B(m)==(p 一 1)(g 一 1) 二 2760。 

(4) 选择 一 个 sk 一 167 , 它 小 于 @(z) 且 与 B(n) 二 2760 互 为 素数 。 

(5) 求 出 pk, 使 得 sk。 pk 二 lmod 2760, 易 得 pk 二 1223, 因 为 1223X167 一 204241 一 
74X2760 十 1。 

(6) 结果 得 到 的 公开 密 钥 为 KU 二 {1223,2867) ,私人 密 钥 为 KR= {167,2867)。 

现 用 明文 输入 m= 二 123 456 789 时 的 加 密 和 解密 过 程 来 说 明 上 述 密码 系统 的 应 用 。 在 
加 密 时 ,首先 将 明文 分 成 3 组 , 即 : 


mi = 123 
mz = 456 
ms = 789 


用 私 钥 sk 进行 加 密 : 
Ci = ml’’ mod 2867 = 1770 
C; = m}’’ mod 2867 = 1321 
Cs = m}’’ mod 2867 = 1297 
可 以 得 到 密 文 为 : 
C= 1770 1321 1297 
解密 时 ,用 公开 密 钥 pk 解密 ,只 要 计算 : 
mi = Cl223 mod 2867 = 123 
mz = Cj223 mod 2867 = 456 
ms = Cl223 mod 2867 = 789 
这 样 就 将 明文 恢复 出 来 了 。 
2. RSA 体制 的 安全 性 
从 技术 上 说 ,RSA 的 安全 性 完全 依赖 于 大 素数 的 分 解 问题 ,这 个 问题 的 求解 困难 性 虽 
然 从 未 在 数学 上 得 到 理论 证 明 , 但 经 过 30 多 年 的 应 用 以 后 ,到 目前 为 止 还 没有 找到 一 种 有 
效 的 方法 来 进行 大 素数 分 解 。 
RSA 算法 的 安全 性 取决 于 pg 的 保密 性 及 分 解 大 数 的 难度 , 即 已 知 n= pq, 分 解 出 p、g 
的 困难 性 。 所 以 在 计算 出 nn 后 ,要 立即 彻底 删除 pg 的 值 。 
目前 攻击 RSA 算法 主要 有 两 种 : 一 种 是 从 ?企图 分 解 出 p.q; 另 一 种 是 穷 举 密 钥 法 。 穷 
举 法 没有 分 解 大 素数 有 效 。 当 前 运用 计算 机 和 素数 理论 ,已 能 够 分 解 出 129 位 长 的 十 进 制 数 。 
一 般 来 说 , 密 钥 长 度 越 长 ,安全 性 越 好 。RSA 实验 室 建议 ,个 人 使 用 RSA 算法 时 ,公开 
模 数 的 长 度 至 少 要 达到 768 位 ,公司 要 用 到 1024 位 ,极其 重要 的 单位 要 用 到 2048 位 。 当 
然 , 随 着 密 钥 长 度 变 长 以 后 ,加 密 和 解密 的 速度 会 降低 很 多 ,影响 效率 。 为 了 提高 加 密 速度 ， 
通常 取 加 密 的 sk 为 特定 的 小 整数 ,如 EDI( 电 子 数据 交换 ) 国 际 标准 中 规定 选择 的 & 二 2”* 十 
1,1SO/IEC 9796 甚至 允许 取 A 一 3, 这 样 导致 加 密 速 度 一 般 比 解密 速度 快 10 倍 以 上 。 尽 管 
如 此 ,与 对 称 加 密 体制 相 比 ,RSA 的 加 密 、 解 密 速度 还 是 太 慢 ,所 以 它 很 少 用 于 大 量 数据 的 
加 密 ,而 一 般 只 用 于 数字 签名 、 密 钥 管理 和 认证 。 


2.4.2 椭圆 曲线 非 对 称 密码 体制 
另 一 类 重要 的 非 对 称 密码 体制 的 构造 依赖 于 一 个 阶 数 相当 大 的 有 限 群 ,特别 是 阶 数 含 
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大 素数 因子 的 群 。 实 际 上 ,有 限 域 乘法 群 和 椭圆 曲线 加 法 群 是 非常 方便 的 候选 对 象 。 用 这 
两 种 群 可 以 构造 Diffie-Hellman 密 钥 交换 算法 、ElGamal 加 密 算 法 和 ElGamal 数字 签名 
算法 。 

椭圆 曲线 密码 (Elliptic Curve Cryptography, ECC) 是 基于 椭圆 曲线 算术 的 一 种 非 对 称 
密码 方法 。 椭 圆 曲 线 在 密码 学 中 的 使 用 是 在 1985 年 由 Neal Koblitz 和 Victor Miller 分 别 
独立 提出 的 。 椭 圆 曲 线 密码 有 一 些 突出 的 优点 : 密 钥 长 度 短 , 抗 攻击 性 强 ,单位 比特 的 安全 
性 强度 高 。 例 如 ,160 位 的 ECC 与 1024 位 的 RSA 有 相同 的 安全 强度 。 此 外 ,ECC 的 计算 
量 小 ,处 理 速度 快 ,如 在 相同 的 强度 下 ,用 160 位 的 ECC 进行 加 密 、 解 密 或 数字 签名 要 比 用 
1024 位 的 RSA 快 了 大 约 10 倍 。 目 前 ECC 算法 已 经 成 为 一 种 非常 流行 的 非 对 称 密 码 
算法 。 

由 于 学 习 椭圆 曲线 密码 体制 需要 较 多 的 数学 知识 ,本 节 仅 介绍 一 些 基 本 概念 , 感 兴趣 的 
读者 可 以 参考 相关 材料 。 

1. 椭圆 曲线 

实数 域 上 的 椭圆 曲线 是 指 方程 : 

yary+by = zx’ 二 cz: 二 dz 二 +e 

的 所 有 解 (z,y)ERXRCR 表示 实数 域 ), 再 加 上 一 个 无 穷 远 点 ( 记 作 O) 所 构成 的 一 个 集合 
E, 其 中 ,b,c,d,e 是 满足 某 些 简单 条 件 的 实数 。 

在 上 定义 加 法 运算 ,对 所 有 的 P,QEE, 运 算 规则 如 下 。 

(1) O 是 加 法 的 单位 元 ,有 0= 一 0O。 

(2) 对 椭圆 曲线 上 的 任何 一 点 P, 有 P 十 0==P=0O 十 P。 

(3) 如 果 P= (zi,y1) ,那么 一 P= (xi, 一 yi 一 axi 一 b)。 

(4) 如 果 Q= 一 已 ,那么 P+Q=O。 

(5) 如 果 P 关 0,Q 关 0,Q 关 一 P,Q 关 P, 设 R 是 过 点 P 和 Q 的 直线 与 E 的 交点 ,那么 
Q+P=—R。 

(6) Q 的 倍数 定义 如 下 : 在 点 Q@ 作 EE 的 切线 ,并 找 出 男 一 交点 S, 定 义 Q 十 Q= 
2Q= 一 S。 

结合 (5) ,类 似 地 可 以 定义 3Q 二 Q 十 Q 十 Q,…,nQ 二 Q 十 … 十 Q。 

可 以 证 明 巨 关于 上 述 定 义 的 加 法 运算 构成 一 个 交换 群 。 

2. 有 限 域 上 的 椭圆 曲线 

实数 是 连续 的 ,导致 定义 于 其 上 的 椭圆 曲线 也 是 连续 的 ,但 连续 的 椭圆 曲线 并 不 适合 加 
密 ,所 以 在 密码 学 上 人 们 关心 的 是 定义 在 有 限 域 上 的 椭圆 曲线 。 

有 限 域 上 的 椭圆 曲线 是 指 方程 : 

yary+by = 二 x 十 cx: 十 dr 十 e 

的 所 有 人 解 (x,y)EFXF, 青 加 上 一 个 无 穷 远 点 O 所 构成 的 一 个 集合 ,其 中 a,b,c,d,eEF 
是 满足 某 些 简单 条 件 的 实数 。 

由 上 面 有 限 域 F 上 椭圆 曲线 的 定义 ,可 以 看 出 有 限 域 上 的 椭圆 曲线 是 离散 的 。 下 面 介 
绍 定义 于 有 限 域 Z,(z>3 是 素数 ) 上 的 一 类 简单 且 常 用 的 椭圆 曲线 y* 二 x’ 十 az 十 6b, 至 于 其 
他 类 型 有 限 域 上 的 椭圆 曲线 ,有 兴趣 的 读者 可 以 参阅 有 关 文 献 。 
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有 限 域 Z,(p 记 3 是 素数 ) 上 的 椭圆 曲线 y* 二 x 十 az 十 b 是 由 一 个 称 为 无 穷 远 点 的 O 和 

满足 同 余 方 程 : 
y =z ar+b(modp) 
的 解 (x,y) EZ,XZ。 组 成 的 集合 玉 , 其 中 4a,65E 2Z,, 并 满足 : 
4as 十 2702 (modp) 关 0 

为 了 以 后 叙述 方便 ,把 Z。 上 的 这 类 椭圆 曲线 记 作 玉 , (a ,56)。 与 实数 域 上 的 椭圆 曲线 上 
的 加 法 定义 方式 相同 ,椭圆 曲线 E, (4a,65) 上 的 加 法 定义 如 下 (所 有 的 运算 都 在 Z, 上 )。 

对 任意 P=(xi,y1),Q==(zs ,ys)EE, 有 
O 如 果 zi = za ,yi 二 一 yz 


| 
(zayys) 其 他 
其 中 ， 
Ta 一 2 一 2a 一 2 (yz 一 %)/(z 一 Zi) PQ 
， A 一 
ys = AT1 ZT) Yl nn P=Q 


最 后 对 所 有 的 PEE, 定 义 P 二 (一 P)=0。 

注意 : Z,(z>3 是 素数 ) 上 的 椭圆 曲线 没有 实数 域 上 的 椭圆 曲线 的 直观 几何 解释 ,然而 
可 以 验证 ,EE,(as,b) 关 于 上 述 定义 的 加 法 运算 仍然 构成 了 一 个 交换 群 。 

若 已 是 有 限 域 Z。 上 的 椭圆 曲线 , 且 G 是 E 的 一 个 循环 子 群 ,a 是 G 的 生成 元 ,BE G。 
那么 已 知 a 和 8B, 求 满足 : 

na=pB 

的 最 小 整数 , 称 为 椭圆 曲线 上 的 离散 对 数 问 题 ,n 可 以 表示 为 nn 二 log6b。 这 里 由 对 数 nn 和 
点 a 计算 出 8 是 比较 容易 的 ,而 由 点 8 和 a 计算 出 n 是 非常 困难 的 。 

3. 椭圆 曲线 上 的 密码 

在 这 里 只 介绍 椭圆 曲线 上 的 Menezes-Vanstone 公 钥 密码 体制 , 它 是 EIGamal 公 钥 密 
码 体制 在 椭圆 曲线 上 的 实现 ,1993 年 由 A.J. Menezes 和 S. A. Vanstone 提出 。 

Menezes-Vanstone 公 钥 密码 算法 描述 如 下 。 为 了 叙述 方便 ,这 里 称 发 送 方 为 A ,接收 
方 为 B。 

1) 密 钥 生成 

(1) A 选择 一 个 大 素数 p。 

(2) A 选 有 限 域 Z 上 的 一 个 椭圆 曲线 玉 , 且 包含 一 个 阶 足 够 大 的 元 素 a,a 的 阶 记 作 
7 一 ord(a) 。 

(3) A 选取 整数 4 ,满足 1<d<n 一 1, 并 计算 8=da。 

(4) A 的 公 钥 为 (E,p,a,B,n) , 私 钥 为 d。 

2) 加 密 

(1) B 获 取 A 的 公 钥 (E,p,a,B,n)。 

(2) B 选取 整 数 k, 满 足 1 二 k 志 nn 一 1, 计 算 yo 一 ka 和 6=(ci ,cs) 二 kB。 

(3) 对 明文 X= 二 (zx1,7z2) E22 XZ (Z? 一 DZ 一 {0)),B 计 算 : 


yi = clzlimod 户 








r= czzzmod 力 
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(4) B 得 到 密 文 > 一 (y ,yi ,yz)EEXZ; XZ; ,并 将 它 发 送 给 A。 

3) 解密 

(1) A 收 到 B 发 给 他 的 密 文 y= (yo ,yi ,yz)。 

(2) A 计算 dyo== (ci ,cs)。 

(3) A 分 别 计算 c 和 cs 在 Z, 上 的 逆 元 crl,cz 1:。 

(4) A 获得 明文 (GLwmodp,clymodp) 王 (cliczmodp,c lczmodp) 一 (ziyzz) 一 工 

4. ECC 的 安全 性 

椭圆 曲线 密码 的 安全 性 依赖 于 椭圆 曲线 离散 对 数 问题 (ECDLP) 的 难 解 性 。 从 目前 的 
研究 来 看 ,椭圆 曲线 离散 对 数 问题 比 有 限 域 上 的 离散 对 数 问 题 似乎 更 难处 理 。 迄 今 还 没有 
出 现 类 似 于 求解 有 限 域 上 的 离散 对 数 问题 的 index-calculs 类 型 的 亚 指数 时 间 的 算法 ,来 求 
解 一 般 椭圆 曲线 离散 对 数 问 题 。 这 就 意味 着 ,可 以 在 椭圆 曲线 密码 体制 中 采用 较 小 的 数 , 以 
得 到 与 使 用 更 大 的 有 限 域 同样 的 安全 强度 。 

另外 ,如 果 定 义 于 有 限 域 玉 上 的 椭圆 曲线 EE 所 含有 点 的 个 数 恰 好 等 于 有 限 域 含 有 的 
元 素 个 数 , 这 样 的 椭圆 曲线 称 为 异常 椭圆 曲线 。 这 类 曲线 易 受 攻击 ,在 所 有 椭圆 曲线 密码 体 
制 中 ,该 类 曲线 禁止 使 用 。 


2.4.3 Diffie-Hellman 密 钥 交换 


1976 年 ,Whifield Diffie 与 Martin Hellman 提出 了 公 钥 密码 的 概念 ,其 中 设计 的 算法 
被 称 为 Diffie-Hellman 算法 。 该 算法 的 目的 是 使 两 个 用 户 之 间 能 安全 地 交换 密 钥 , 以 便 提 
供 后 续 的 数据 加 密 、 数 字 签名 等 用 途 。Diffie-Hellman 算法 的 安全 性 是 建立 在 求解 离散 对 
数 的 困难 性 基础 上 。 目 前 很 多 安全 产品 采用 了 这 种 密 钥 交换 技术 。 

下 面 给 出 离散 对 数 的 基本 描述 。 设 a 是 素数 P 的 原 根 , 它 是 一 个 整数 ,并 且 它 的 寡 能 
够 生成 1 至 P 一 1 的 所 有 整数 , 即 a mod Pa*mod P、… ar ! mod PP 均 不 同 , 但 它们 组 成 了 
1 至 P 一 1 的 所 有 整数 。 对 于 任意 小 于 P 的 整数 C 与 P 的 原 根 a, 能 够 找到 唯一 的 指数 i， 
使 得 C=ai mod P(0i 二 P 一 1) 成 立 , 则 称 i 是 C 的 基 为 a、 模 为 P 的 离散 对 数 ,并 将 该 值 记 
作 dlogs,p (C)。 

根据 原 根 的 定义 和 性 质 , 可 以 定义 Diffie-Hellman 密 钥 交换 算法 ,该 算法 如 图 2. 22 所 
示 。 该 算法 可 以 描述 如 下 。 

(1) 选择 两 个 全 局 公开 的 参数 : 素数 PP 与 其 原 根 a。 

(2) 假设 用 户 A 和 B 希望 交换 一 个 密 钥 . 用 户 A 选择 一 个 作为 和 有 密 钥 的 随机 数 
XA 一 已 ,并 计算 公开 密 钥 YA 一 axa mod P。A 对 XA 的 值 保密 存放 ,而 使 YA 能 被 B 公开 获 
得 。 类 似 地 ,用 户 B 选择 一 个 私有 的 随机 数 Xs 二 P, 并 计算 公开 密 钥 Ys 二 a*s mod P。B 对 
Xs 的 值 保密 存放 ,而 使 Ys 能 被 A 公开 获得 。 

(3) 用 户 A 产生 共享 秘密 密 钥 的 计算 方式 是 Ks 一 (Ys)** mod P。 同 样 ,用 户 BB 产生 共 
享 秘密 密 钥 的 计算 是 Ks 二 (Ya)%mod P。 这 里 A 和 B 计算 密 钥 会 产生 相同 的 结果 : K= 
(Ya)*s mod P=(a*s mod P)*s mod P= (a*s)*s mod P= (a*s)*s mod P= (a*s mod P)*s 
mod P 二 (YA)*% mod P, 因 此 相当 于 A 与 B 双方 已 经 交换 了 一 个 相同 的 秘密 密 钥 。 

(4) 因为 XA 和 Xs 是 严格 保密 的 ,一 个 攻击 方 可 以 利用 的 参数 只 有 Pa、Ya 和 Ys。 因 
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而 攻击 方 必 须 计 算 离散 对 数 来 确定 密 钥 。 例 如 ,攻击 方 要 获取 用 户 B 的 秘密 密 钥 ,必须 先 
计算 Xa 一 dlog.,p(CYas), 然 后 再 使 用 用 户 B 采用 的 方法 计算 其 秘密 密 钥 玉 。 通 过 Diffie- 
Hellman 密 钥 交 换算 法 进行 密 钥 交换 的 安全 性 依赖 于 这 样 一 个 事实 : 虽然 计算 以 一 个 素数 
为 模 的 指数 相对 容易 ,但 计算 离散 对 数 却 很 困难 。 对 于 大 的 素数 ,计算 出 离散 对 数 几乎 是 不 


可 能 的 。 
多 
接收 页 | 六 下 全 -一 -| 接收 订 









































ss 








用 户 A |x | 用 户 B 
图 2.22 ”Diffie-Hellman 密 钥 交 换 的 工作 原理 


下 面 给 出 一 个 例子 。 密 钥 交 换 基 于 素数 P=97 和 97 的 一 个 原 根 a 二 5。A 和 B 分别 
选择 私有 密 钥 XA 王 36 和 Xs 二 58。 每 人 计算 其 公开 密 钥 : YA 一 5%mod 97 王 50 mod 97， 
Ys 二 5”mod 97 一 44 mod 97。 在 他 们 相互 获取 了 公开 密 钥 之 后 ,各 自 通过 计算 得 到 双方 共 
享 的 秘密 密 钥 : K = (Yas)xAs mod 97 一 4438 mod 97 一 75 mod 97, 开 一 (YA)xe mod 97 一 
505 mod 97 王 75 mod 97。 攻 击 者 从 (50,44) 出 发 ,要 计算 出 75 很 不 容易 。 

但 是 这 种 算法 不 能 抵御 中 间 人 攻击 ,这 是 因为 它 无 法 认证 密 钥 交换 的 参与 者 。 针 对 如 
何 确认 参与 者 身份 的 问题 ,需要 通过 数字 签名 或 公 钥 证 书 等 技术 来 解决 。 


2.5 密码 学 新 进展 


密码 学 把 信息 安全 核心 算法 作为 其 研究 目标 ,其 研究 内 容 也 随 着 信息 安全 不 断 发 展 的 
需求 而 增长 。 本 节 介 绍 几 个 有 代表 性 的 密码 学 研究 新 方向 ,以 及 这 些 算法 与 传统 密码 算法 
相 比 较 的 特点 。 


2.5.1 可 证 明 安 全 性 


可 证 明 安全 性 是 指 一 个 密码 算法 或 密码 协议 ,其 安全 性 可 以 通过 “ 归 约 ”的 方法 得 到 证 
明 。 归 约 是 把 一 个 公认 的 难 解 问题 通过 多 项 式 时 间 化 成 密码 算法 (或 协议 ) 的 破译 问题 。 换 
名 话说 ,可 证 明 安全 性 是 假定 攻击 者 能 够 成 功 , 则 可 以 从 逻辑 上 推出 这 些 攻击 信息 ,可 以 使 
得 攻击 者 或 系统 的 使 用 者 能 够 解决 一 个 公认 的 数学 难题 。 

这 种 思想 使 密码 算法 或 密码 协议 的 安全 性 论证 比 以 往 的 方法 更 加 科学 、 可 信 , 因 此 成 为 
密码 学 研究 的 一 个 热点 问题 。 


2.5.2 基于 身份 的 密码 技术 


利用 用 户 的 部 分 身份 信息 可 以 直接 推导 出 它 的 公开 密 钥 的 思想 , 早 在 1984 年 Shamir 
就 提出 来 了 。 对 普通 公 钥 密码 来 说 ,证 书 权威 机 构 是 在 用 户 生 成 自己 的 公 、 私 密 钥 对 之 后 ， 
对 用 户 身份 和 公 钥 进行 捆绑 (签名 ) ,并 公开 这 种 捆绑 关系 。 而 对 于 基于 身份 的 公 钥 密码 来 
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说 ,与 证 书 权 威 机 构 对 应 的 可 信 第 三 方 , 在 用 户 的 公 、 私 密 钥 对 生成 过 程 中 已 经 参与 ,而且 公 
开 密 钥 可 以 选择 为 用 户 的 部 分 身份 信息 的 函数 值 。 这 时 ,用 户 与 其 公 钥 的 捆绑 关系 不 是 通 
过 数字 签名 ,而 是 通过 可 信 第 三 方 对 密码 参数 进行 可 信 、 统 一 (而 不 是 单独 对 每 个 用 户 的 公 
钥 ) 、 公 开 的 保障 。 可 以 看 出 ,在 多 级 交叉 通信 的 情况 下 ,对 基于 身份 的 密码 使 用 比 普通 公 钥 
密码 的 使 用 减少 了 一 个 签名 、 验 证 层次 ,从 而 受到 人 们 的 关注 。 

Shamir、Fiat 和 Feige 在 1984 年 之 后 的 几 年 中 ,提出 了 基于 身份 的 数字 签名 方案 和 身 
份 识别 方案 ,但 是 直到 2001 年 ,Boneh 和 Franklin 才 提 出 一 个 比较 完善 的 基于 身份 的 加 密 
方案 。Boneh 和 Franklin 的 方案 使 用 了 椭圆 曲线 的 Weil 配对 映射 ,从 此 人 们 总 是 把 基于 身 
份 的 密码 与 椭圆 曲线 的 Weil 配对 联系 在 一 起 ,成 为 近年 来 密码 学 的 一 个 相当 活跃 的 研究 
分 支 。 


2.5.3 量子 密码 学 


量子 计算 是 近年 来 兴起 的 一 个 研究 领域 。 早 在 1982 年 ,物理 学 家 们 注意 到 ,一 些 量子 
力学 中 的 现象 无 法 在 现 有 计算 机 上 进行 仿真 。 但 在 1994 年 ,美国 电话 电报 公司 的 研究 实验 
室 提 出 了 与 现在 计算 机 系统 不 同 的 结构 模型 , 称 为 量子 计算 机 , 它 通 过 量子 力学 原理 实现 超 
常规 的 计算 。 研 究 人 员 在 假设 可 以 制造 一 台 量子 计算 机 的 前 提 下 提出 一 种 算法 ,可 以 在 多 
项 式 时 间 内 分 解 大 整数 。 这 是 量子 计算 机 理论 的 重大 突破 ,与 密码 学 有 重要 的 联系 。 下 面 
介绍 的 量子 密 钥 分 发 技术 足以 显示 量子 密码 技术 的 重要 性 。 

1. 量子 力学 现象 


光子 和 基本 粒子 都 具有 一 定 力学 性 质 。 力 的 分 解 与 合成 满足 平行 四 边 形 法 则 或 矢量 的 加 
法 法 则 。 特 别 地 ,如 果 有 一 个 过 0 点 的 力 下 ,以 及 一 个 方向 e, 则 可 以 得 到 正在 方向 e 上 的 分 量 
已 ,如 图 2. 23 所 示 。 容 易 看 出 ,下 在 与 自身 同方 向 上 的 分 量 是 自己 ,而 在 与 下 垂直 方向 上 的 
分 量 是 0。 
可 以 用 另 一 种 方法 表述 上 述 现象 : 用 方向 e 对 下 进行 测量 ,得 
到 结果 FF。 现在 用 光子 来 做 一 个 实验 。 当 光子 传送 时 , 它 会 在 某 
个 方向 (如 上 下 左右 或 某 个 方向 ) 上 振荡 。 如 果 一 东 光 中 的 所 有 
光子 都 沿 着 一 个 方向 振荡 , 则 称 它 是 极 化 的 ,否则 称 为 非 极 化 的 。 
© 广 ”一 东 光 通过 一 个 偏光 镜 时 ,将 得 到 极 化 的 光束 。 一 水 平方 向 的 极 
图 2.23 力 的 分 解 化 光束 下, 当 遇 到 水 平 极 化 偏光 镜 。 时 ,它们 会 全 部 通过 , 即 得 到 的 
还 是 下 。 而 当下 过 到 垂直 方向 的 极 化 偏光 镜 e 时 , 则 没有 光子 能 通 
过 。 一 般 地 ,一 极 化 的 光束 按照 其 大 小 和 极 性 可 以 看 成 是 矢量 , 当 遇 到 一 个 与 其 极 性 的 夹 角 
成 a 的 偏光 镜 e 时 , 则 通过 的 光束 与 e 同 向 ,而 且 其 大 小 为 Fi 二 RF，cos a。 人 们 发 现 ,用 偏 
光 镜 过 滤 光 束 和 用 方向 对 力 进行 测量 ,其 实 是 同样 的 道理 。 
对 一 个 光子 的 解释 比 上 述 要 困难 。 一 个 光子 遇 到 偏光 镜 e 时 ,如 果 光 子 极 性 与 一 个 偏 
光 镜 。 是 平行 (或 垂直 ) 时 ,光子 将 通过 (或 被 阻止 )。 但 当 光 子 极 性 与 一 个 偏光 镜 。 夹 角 为 a 
时 ,这 个 光子 要 么 改变 为 e 的 方向 通过 ,要 么 被 阻止 ,因为 光子 是 最 小 单位 ,不 能 有 一 个 不 完 
整 的 光子 通过 。 因 此 物理 学 家 给 出 的 一 个 稍微 合理 的 解释 是 .这 时 这 个 光子 改变 为 e 的 方 
向 通过 的 概率 为 p 二 cos a。 
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选 定 两 个 垂直 的 方向 ,如 水 平方 向 和 垂直 方向 (用 “一 ”和 ”|” 表 示 ) ,或 者 45" 左 对 角 线 
和 右 对 角 线 (用 “/” 和 “\ ”表示 )。 两 种 情况 都 称 为 一 组 极 化 基 。 第 一 组 基 记 作 B 一 { 一 ,|)}; 
第 二 组 基 记 作 B, 二 {/,\}。 

由 上 面 的 讨论 可 知 ,在 一 组 基 上 的 两 个 方向 之 一 的 光子 ,如 果 用 本 组 基 方 向 上 的 偏光 镜 
进行 测量 ,可 以 正确 地 测量 ; 而 用 另外 一 组 极 化 基 之 一 测量 , 则 只 能 得 到 随机 的 结果 。 下 面 
通过 一 个 示例 来 说 明 怎样 通过 光量 子 分 发 密 钥 。 

2. 量子 密 钥 分 发 技术 

例 2.8 假设 Alice 想 和 Bob 共享 一 个 随机 位 串 。Alice 想 把 01110010 传送 给 Bob , 便 
随机 选取 一 个 等 长 的 基 序 列 B, , B: , B, ,B, ,B: ,B: ,B,,B:。 通 信 双 方 约定 对 于 基 Bi = {一 ， 
1} ,把 1 编码 为 “一 ”, 把 0 编码 为 “|”; 对 于 基 B:=={/\ 八 }, 把 1 编码 为 “/”, 把 0 编码 为 “\”。 
因此 Alice 传递 下 列 光子 序列 给 Bob。 

[7 /NAN 


Bob 随机 选择 另 一 基 序 列 B, ,B: ,B: ,Bi ,B: ,Bi, ,Bi,B,, 并 用 该 基 序 列 来 接收 收 到 的 信 
息 , 它 收 到 的 量子 位 如 下 。 

/NN 

注意 ,“* ”表示 一 些 随机 位 。Bob 告诉 Alice 他 在 接收 时 使 用 的 基 序 列 。Alice 通过 和 
自己 选择 的 基 序 列 对 比 后 告诉 Bob, 它 所 选取 的 第 2、4、5、7、8 个 基 是 正确 的 。 这 样 , Alice 
在 发 送 的 序列 中 和 Bob 在 接收 的 序列 中 对 应 地 选 出 子 序列 是 相同 的 。 

Wr 

通过 译 码 ,它们 共享 了 一 个 序列 11010。 此 序列 可 作为 双方 以 后 通信 中 的 数据 加 密 
密 钥 。 


习 题 2 

一 、 选 择 题 
1. 下 列 ( ) 算 法 属于 公开 密 钥 算法 。 

A. AES B. DES C. RSA D. 天 书 密码 
2. 下 列 ( ) 算 法 属于 置换 密码 。 

A. 移 位 密码 B. 天 书 密码 C. Vigenere 密码 D. 仿 射 密码 
3. DES 加 密 过 程 中 ,需要 进行 ( ) 轮 变换 。 

A. 8 B. 16 C. 24 D32 


4. 关于 ECC 的 描述 中 ,正确 的 是 ( 多 
A. 它 是 一 种 典型 的 基于 流 的 对 称 密码 算法 
B. 它 的 安全 基础 是 大 素数 的 因子 分 解 非常 困难 
C. 在 安全 性 相当 时 ,其 密 钥 长 度 小 于 RSA 算法 
D. 在 密 钥 长 度 相 当时 ,其 安全 性 低 于 RSA 算法 
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5. 在 以 下 几 种 分 组 密码 操作 中 ,最 简单 的 操作 模式 是 ( )。 


A. ECB 模式 B. CBC 模式 C. OFB 模式 D. CFB 模式 
6. 在 以 下 几 种 密 钥 长 度 中 ,不 符合 AES 规范 的 是 ( 法 

A. 128 位 B. 168 位 C. 192 位 D. 256 位 
二 、 填空 题 


1. 给 定 密 钥 ==10010011, 若 明文 为 P= 二 11001100, 则 采用 异 或 运算 加 密 的 方法 得 到 
的 密 文 为 


2. 在 数据 加 密 标 准 DES 中 ,需要 进行 轮 相同 的 变换 才能 够 得 到 64 位 密 文 
输出 。 

3，RSA 算法 的 安全 性 完全 取决 于 及 a 

4. Diffie-Hellman 算法 的 最 主要 应 用 领域 是 

5. DES 算法 中 ,每 次 加 密 的 明文 分 组 大 小 为 位 。 

三 、 简 答题 


1. 说 明 研 究 密码 学 的 意义 及 密码 学 研究 的 内 容 。 

2. 比较 代替 密码 中 移 位 密码 、 单 表 代 换 密码 和 多 表 代 换 密 码 的 安全 性 优 劣 ,并 说 明 
理由 。 

3. 已 知 仿 射 密码 的 加 密 函 数 可 以 表示 为 : 

fla) = (aKi+t Ko)mod 26 

明文 字母 eh 对 应 的 密 文字 母 是 、w, 请 计算 密 钥 K， 和 K。 来 破译 此 密码 。 

4. 用 Vigenare 密码 加 密 明 文 “please keep this message in secret”, 其 中 使 用 的 密码 为 
“computer”, 求 其 密 文 。 

5. 设 英文 字母 a,5,c，,… ,分 别 编号 为 0,1,2,…,25, 仿 射 密码 加 密 变 换 为 c 三 (3m 十 
5) mod 26, 其 中 m 表示 明文 编号 ,c 表示 密 文 编号 。 

(1) 试 对 明文 security 进行 加 密 。 

(2) 写 出 该 仿 射 密码 的 解密 函数 。 

(3) 试 对 密 文 进行 解密 。 

6. 简 述 序列 密码 算法 与 分 组 密码 算法 的 不 同 点 。 

7. 在 一 个 使 用 RSA 的 公开 密 钥 系统 中 ,如 果 攻 击 者 截获 了 公开 密 钥 pk 二 5, 公 开 模 数 
7 一 35, 密 文 c 一 10 ,那么 明文 是 什么 ? 

8. 在 一 个 使 用 RSA 的 公开 密 钥 系统 中 ,假设 用 户 的 私人 密 钥 被 泄露 了 ,他 仍 使 用 原来 
的 模 数 重新 产生 一 对 密 钥 ,这 样 做 安全 吗 ? 

9. 请 说 明 对 称 密码 与 公 钥 密 码 的 主要 区 别 , 以 及 它们 的 主要 应 用 领域 。 

10. 请 说 明 对 称 密 钥 与 非 对 称 密 钥 算法 中 密 钥 分 发 的 主要 区 别 ,以 及 它们 所 采用 的 主 
要 技术 手段 。 


第 3 章 信息 认证 技术 


3.1 概 述 


在 当前 开放 式 的 网 络 环境 中 ,任何 在 网 络 上 的 通信 都 可 能 遭 到 黑客 的 攻击 ,窃听 机 密 消 
息 ,伪造 复制 删除 和 修改 消息 等 攻击 越 来 越 多 。 所 有 的 攻击 都 可 能 对 正常 通信 造成 破坏 
性 的 影响 。 因 此 ,一 个 真实 可 靠 的 通信 环境 成 为 能 够 有 效 进行 网 络 通信 的 基本 前 提 。 认 证 
技术 作为 信息 安全 中 的 一 个 重要 组 成 部 分 也 显得 尤为 重要 。 

为 了 防止 通信 中 的 消息 被 非 授 权 使 用 者 攻击 ,有 效 的 方法 就 是 要 对 发 送 或 接收 到 的 消 
息 具 有 鉴别 能 力 , 能 鉴别 消息 的 真 伪 和 通信 对 方 的 真实 身份 。 实 现 这 样 功能 的 过 程 称 为 
认证 。 

一 个 安全 的 认证 系统 应 满足 以 下 条 件 。 

(1) 合法 的 接收 者 能 够 检验 所 接收 消息 的 合法 性 和 真实 性 。 

(2) 合法 的 发 送 方 对 所 发 送 的 消息 无 法 进行 否认 。 

(3) 除了 合法 的 发 送 方 之 外 ,任何 人 都 无 法 伪造 、 自 改 消息 。 

通常 情况 下 ,一 个 完整 的 身份 认证 系统 中 除了 有 消息 发 送 方 和 接收 方 外 ,还 要 有 一 个 可 
信任 的 第 三 方 ,负责 密 钥 分 发 .证 书 的 颁发 .管理 某 些 机 密 信息 等 工作 , 当 通 信 双 方 遇 到 争 
执 、 纠 纷 时 ,还 充当 仲裁 者 的 角色 。 

通信 双方 进行 认证 的 目的 是 进行 真实 而 安全 的 通信 。 所 谓 认 证 就 是 在 通信 过 程 中 , 通 
信 一 方 验 证 另 一 方 所 声称 的 某 种 属性 。 信 息 安全 中 的 认证 技术 主要 有 两 种 : 消息 认证 和 身 
份 认证 。 

如 果 验 证 的 是 消息 的 某 种 属性 , 则 该 认证 方式 称 为 消息 认证 。 消 息 认证 用 于 保证 信息 
的 完整 性 与 不 可 抵赖 性 ,验证 消息 在 传送 和 存储 过 程 中 是 否 遭 到 算 改 、 重 放 等 攻击 。 若 认证 
的 属性 是 关于 通信 中 的 某 一 方 或 双方 身份 , 则 该 认证 过 程 称 为 身份 认证 。 身 份 认证 主要 用 
于 鉴别 用 户 身份 ,是 用 户 向 对 方 出 示 自 己 身份 的 证 明 过 程 ,通常 是 确认 通信 的 对 方 是 否 拥 有 
进入 某 个 系统 或 使 用 系统 中 某 项 服务 的 合法 权利 的 第 一 道 关卡 ,确认 消息 的 发 送 者 和 接收 
者 是 否 合法 。 


3.2 哈 希 六 数 


哈 希 函数 也 称 为 单 向 散 列 函数 ,是 信息 安全 领域 广泛 使 用 的 一 种 密码 技术 , 它 主 要 用 于 
提供 消息 的 完整 性 验证 。 哈 希 函数 以 任 一 长 度 的 消息 M 为 输入 ,产生 固定 长 度 的 数据 输 
出 。 这 个 定 长 输出 称 为 消息 M 的 散 列 值 或 消息 摘要 。 由 于 哈 希 函数 具有 单 向 的 特性 ,因此 
该 散 列 值 也 称 为 数据 的 “指纹 ”。 
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3.2.1 哈 希 函数 概述 


由 于 哈 希 (Hash) 函数 通过 产生 定 长 的 散 列 值 作为 数据 的 特征 “指纹 ”, 因 此 用 于 消息 认 
证 的 哈 希 函数 必须 具有 下 列 性 质 。 

(1) 哈 希 函数 的 输入 可 以 是 任意 长 度 的 数据 块 M, 产 生 固 定 长 度 的 散 列 值 h。 

(2) 给 定 消 息 M, 很 容易 计算 散 列 值 h。 

(3) 给 定 散 列 值 h, 根 据 HCM) 二 h 推导 出 M 很 难 , 这 个 性 质 称 为 单 向 性 。 单 向 性 要 求 
根据 报 文 计算 散 列 值 很 简单 ,但 反 过 来 根据 散 列 值 计算 出 原始 报 文 十 分 困难 。 

(4) 已 知 消息 M, 通 过 同一 个 H(*), 计 算出 不 同 的 h 是 很 困难 的 。 

(5) 给 定 消息 M, 要 找到 另 一 消息 M' ,满足 HCM) = 二 HCM') ,在 计算 上 是 不 可 行 的 ,这 
条 性 质 称 为 弱 抗 碰撞 性 。 该 性 质 是 保证 无 法 找到 一 个 替代 报 文 ,否则 就 可 能 破坏 使 用 哈 希 
函数 进行 封装 或 签名 的 各 种 协议 的 安全 性 。 险 希 函 数 的 重要 之 处 就 是 赋予 M 唯一 的 
“指纹 ”。 

(6) 对 于 任意 两 个 不 同 的 消息 M 关 M ,它们 的 散 列 值 不 可 能 相同 ,这 条 性 质 被 称 为 强 
抗 碰 撞 性 。 强 抗 碰撞 性 对 于 消息 的 哈 希 函数 安全 性 要 求 更 高 ,这 条 性 质保 证 了 对 生日 攻击 
的 防御 能 力 。 

碰撞 性 是 指 对 两 个 不 同 的 消息 M 和 M' ,如果 它 们 的 散 列 值 相 同 , 则 发 生 了 碰撞 。 我 们 
需要 处 理 的 消息 是 无 限 的 ,但 可 能 的 散 列 值 却 是 有 限 的 。 不 同 的 消息 可 能 会 产生 同一 散 列 
值 , 因 此 碰撞 是 存在 的 。 但 是 , 哈 希 函数 要 求 用 户 不 能 按 既 定 的 需要 找到 一 个 碰撞 ,意外 的 
碰撞 更 是 不 太 可 能 的 。 显 然 ,从 安全 性 的 角度 来 看 , 喻 希 函 数 输 出 的 位 越 长 , 抗 碰撞 的 安全 
强度 越 大 。 

在 信息 认证 技术 中 , 哈 希 函数 扮演 着 非常 重要 的 角色 ,在 通信 安全 中 起 着 重要 的 作用 ， 
同时 也 是 许多 密码 协议 的 基本 模块 。 哈 希 函数 的 散 列 值 也 被 称 为 哈 希 值 消息 摘要 数字 指 
纹 、 密 码 校 验 和 ,信息 完整 性 检验 码 ,操作 检验 码 等。 如 果 对 明文 进行 轻微 的 改动 ,哪怕 只 是 
一 个 字母 或 一 个 标点 符号 ,其 对 应 的 散 列 值 也 会 有 很 大 的 不 同 。 

哈 希 函数 的 设计 建立 在 压缩 函数 的 思想 上 。 压 缩 函数 的 输入 是 消息 分 组 和 文本 前 一 分 
组 的 输出 , 即 分 组 Mj; 的 散 列 值 为 : 

hi = Mh 

该 散 列 值 和 下 一 轮 的 消息 分 组 一 起 作为 压缩 函数 下 一 轮 的 输入 。 最 后 一 个 分 组 的 散 列 
值 就 成 为 整个 消息 的 散 列 值 。 

目前 常用 的 哈 希 函数 有 MD5、SHA-1 和 RIPEMD -160 等 ,本 章 重 点 介绍 MD5 和 
SHA-1 算法 的 基本 原理 。 


3.2.2 MDS 


MD5 算法 是 由 麻 省 理工 学 院 的 Ron Rivest 提出 的 ,是 一 种 常用 的 哈 希 函 数 , 它 可 将 任 
意 长 度 的 消息 经 过 变换 得 到 一 个 128 位 的 散 列 值 , MD5 被 广泛 用 于 各 种 软件 的 密码 认证 和 
密 钥 识别 上 。 

对 MD5 算法 简要 的 叙述 可 以 概括 为 : MD5 以 512 位 分 组 来 处 理 输入 的 信息 , 且 每 一 
分 组 又 被 划分 为 16 个 32 位 子 分 组 ,经 过 了 一 系列 的 处 理 后 ,算法 的 输出 由 4 个 32 位 分 组 
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组 成 ,将 这 4 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 。 

MD5 是 经 MD2、MD3 和 MD4 发 展 而 来 的 。 它 的 作用 是 让 大 容量 信息 在 数字 签名 前 
被 “压缩 ”成 一 种 保密 的 格式 (就 是 把 一 个 任意 长 度 的 字 串 变换 成 一 定 长 的 大 整数 ) 。 不 
管 是 MD2、MD4, 还 是 MD5 ,它们 都 需要 获得 一 个 随机 长 度 的 信息 并 产生 一 个 128 位 的 
信息 摘要 。 虽 然 这 些 算法 的 结构 或 多 或 少 有 些 相 似 , 但 MD2 的 设计 与 MD4 和 MD5 完 
全 不 同 , 那 是 因为 MD2 是 为 8 位 计算 机 做 设计 优化 的 ,而 MD4 和 MD5 却 是 面向 32 位 计 
算 机 的 。 

MD5 的 算法 步骤 如 下 。 

1) 数据 填充 与 分 组 

将 输入 信息 M 按 顺序 进行 分 组 ,每 512 位 为 一 组 , 即 M 一 Mi ,M: ,…,M, ii,M,。 将 M， 
的 长 度 填充 为 448 位 , 当 M, 的 长 度 L 小 于 448 位 时 ,在 信息 M, 后 加 一 个 “1”, 然 后 再 填充 
若干 个 “0”, 使 得 最 后 M 的 长 度 为 448 位 。 当 M, 的 长 度 大 于 448 位 时 ,在 信息 M, 后 添加 
一 个 “1”, 然 后 再 填充 512 一 了 十 448 个 “0”, 使 最 后 信息 M 的 长 度 为 512 位 ,M+1 的 长 度 为 
448 位 。 现 在 填充 后 的 信息 M 的 长 度 恰好 是 一 个 比 512 的 倍数 少 64 位 的 数 ,也 就 是 信息 长 
度 等 于 512X (n 一 1) 十 448, 其 中 为 某 个 整数 。 然 后 将 填充 前 的 信息 M 的 长 度 L 转换 为 
64 位 二 进 制 数 ,如 果 原 信息 长 度 工 超过 64 位 所 能 表示 的 范围 , 则 只 保留 最 后 64 位 。 最 后 
再 将 该 64 位 二 进 制 数 增加 到 填充 后 的 信息 M 的 M, 后 面 , 使 得 最 后 一 块 的 长 度 为 512 位 。 
经 过 这 些 处 理 , 现 在 信息 的 位 长 为 (n 一 1) X512 十 448 十 64 二 nX512, 即 长 度 恰好 是 512 的 整 
数 倍 。 这 样 做 的 原因 是 为 了 满足 后 面 处 理 中 对 信息 长 度 的 要 求 。 

2) 初始 化 散 列 值 

MD5 算法 的 中 间 结 果 和 最 终结 果 保 存在 128 位 的 缓冲 区 中 ,缓冲 区 用 4 个 32 位 的 变 
量 表示 ,这 些 变量 被 称 为 链接 变量 (Chaining Variable) ,初始 化 为 : 

A=0x01234567 

B=0x89abcdef 

C=0xfedcba98 

D=0x76543210 

当 设置 好 这 4 个 链接 变量 后 ,就 开始 进入 算法 的 4 轮 循环 运算 。 循 环 的 总 次 数 是 信息 
中 512 位 信息 分 组 的 数目 。 

3) 计算 散 列 值 

将 上 面 4 个 链接 变量 复制 到 另外 4 个 变量 中 , 即 A 到 a,B 到 5b,C 到 c,D 到 4d。 

主 循 环 有 4 轮 (MD4 只 有 3 轮 ), 每 轮 循环 都 很 相似 , 主 循环 如 图 3. 1 所 示 。 第 一 轮 进 
行 16 次 操作 。 每 次 操作 对 a.b、c 和 4d 中 的 3 个 做 一 次 非 线 性 函数 运算 ,然后 将 所 得 结果 加 
上 第 4 个 变量 ,文本 的 一 个 子 分 组 和 一 个 常数 。 青 将 所 得 结果 循环 左 移 某 个 位 数 ,并 加 上 
awb.c 或 d 中 之 一 。 最 后 用 该 结果 取代 a、b.c 或 d 中 之 一 。 

每 轮 运算 使 用 的 非 线性 函数 都 是 一 个 基本 的 逻辑 函数 ,其 输入 是 3 个 32 位 的 信息 , 输 
出 是 一 个 32 位 的 信息 , 按 位 进行 逻辑 运算 .这 4 个 函数 分 别 为 : 

F(X,Y,Z2) = (XA YY Cn XY NZ) 
CX ADY NS 
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图 3.1 MD5s 主 循环 


H(X,Y,Z)= X@Y@Z 
I(X,Y,2) =Y@(XV (-2)) 
其 中 ,人 是 与 , V 是 或 ,是 非 , 田 是 异 或 。 如 果 X、Y 和 Z 的 对 应 位 是 独立 和 均匀 的 , 那 
么 这 4 个 函数 结果 的 每 一 位 也 应 是 独立 和 均匀 的 。 
MD5 的 基本 操作 过 程 如 图 3. 2 所 示 。 
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图 3.2 MD5 的 基本 操作 过 程 


4 轮 的 迭代 操作 分 别 为 : 
FF(a,bycsd,Mj;,ssti) 表示 a 一 8 十 ((a 十 FGOcyd) 十 Mi 十 右 ) <<<s) 
GG(asbycvd,Mjs,svti) 表示 & 一 0 十 (十 GCCcsd) 十 Mi 十 友 ) <<<s) 
HH(a,b,csd,Mj,ssti) 表示 a 一 0 十 (Ce 十 万 (cd) 十 Mi 十 二 ) <<<s) 
II(asbycysd,Mjsssti) 表示 a 一 0 十 (Ce 十 Tcsd) 十 Mi 十 右 ) <<<s) 

其 中 ,M, 表 示 消 息 的 第 j 个 子 分 组 (从 0 到 15) ,常数 户 王 22 Xabs sin(i) 的 整数 部 分 ， 

i 二 1,2,…,64,i 单 位 是 弧度 。 十 为 模 22 加 法 ,<<<s 表示 循环 左 移 s 位 。 

这 4 轮 共 64 步 如 下 。 

第 1 轮 : 

FF(a,b,c,d, Mo ,7,0xd76aa478) 

FF(d,a, by crMi ,12,0xe8c7b756) 

FF(c,d,a,b,M,,17,0x242070db) 

FF(b,c,d,a, M3,22,0xclbdceee) 
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FF(a,b,c,d,M,,7,0xf57cOfaf) 
FF(d,a, b,c,Ms,12,0x4787c62a) 
FF(c,d,a,b, Me ,17,0xa8304613) 
FF(b,c,d,a,M;, ,22,0xfd469501) 
FF(a,b, c,d,Ms,7,0x698098d8) 
FF(d,a, b,c,M, ,12,0x8b44f7af) 
FF(c,d,a,b, Mo ,17, 0xffff5bb1) 
FF(b, c,d,a, My ,22,0x895cd7be) 
FF(a,b,c,d, Ms,7,0x6b901122) 
FF(d,a, b,c, Mi,12,0xfd987193) 
FF(c,d,a,b, Ms ,17,0xa679438e) 
FF(b, c,d,a, Mis ,22,0x49b40821) 


第 2 轮 : 


GG(av by c,d,M, ,5,0xf61e2562) 
GG(d av by cr Ms ,9,0xc040b340) 
GG( c,d,a, b, Miav14,0x265e5a51) 
GG(b, c,d,a, Mo ,20,0xe9b6c7aa) 
GG(a by cr dr Ms ,5,0xd62£105d) 
GG(d av b,c, Myo ,9, 0x02441453) 
GG(c,d,a, b, Mis ,14, 0xd8ale681) 
GG( b,c, d,a, Ms ,20,0xe7d3fbc8) 
GG(a,b, c,d,M, ,5,0x21elcde6) 
GG(dr av by cr Mis ,9, 0xc33707d6) 
GG( c,d, a, b, Ms ,14,0xf4d50d87) 
GG(b c,d,a, Me ,20,0x455al4ed) 
GG(a,b, c,d, Mia ,5,0xa9e3e905) 
GG(d,a, b,c,M, ,9,0xfcefa3f8) 
GG( c,d,a, b, M1 ,14,0x676£02d9) 
GG(b, c,d, av Mia ,20, 0x8d2a4c8a) 


第 3 轮 : 


HH(a, by c,d, Ms ,4,0xfffa3942) 
HH(d,a, by cv Ma ,11,0x8771£681) 
HH(c,d,a, b, Mi ,16, 0x6d9d6122) 
HH(b, c,d,a, Mi ,23, 0xfde5380c) 
HH(a by cv dr Mi ,4,0xa4beea44) 
HH(d,a, b,c, M, ,11,0x4bdecfa9) 
HH(¢, d, a, b, M1 ,16, 0xf6bb4b60) 
HH(b, c, d a, Mio ,23, 0xbebfbc70) 
HH(a,b, c,d, Ms ,4, 0x289b7ec6) 
HH(d,a, by cv Mo ,11,0xeaal27fa) 
HH(cv dr av b, Ms ,16,0xd4ef3085) 
HH(b, c,d,a, Me ,23,0x04881d05) 
HH(a by cv dr Ms , 4,0xd9d4d039) 
HH(dr ar b,c, Mi ,11, 0xe6db99e5) 
HH(c,d,a, b, Ms ,16, 0xlfa27cf8) 
HH(b, cv dr av Ma ,23,0xc4ac5665) 
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第 4 轮 : 


II(a,b,c,d,M,,6,0xf4292244) 
II(d,a,b,c,M;,10,0x432aff97) 
II(c,d,a,b, Misv15,0xab9423a7) 
II(b,c,d,a,Ms,21,0xfc93a039) 
II(av by c,d, Mi ,6,0x655b59c3) 
II(d,a, b,c,Ms,10,0x8f0ccc92) 
II(c,d,a,b, Mo,15,0xffeff47d) 
II(b,c,d,a,M, ,21,0x85845dd1) 
II(a, by c,d, Ms ,6,0x6fa87e4f) 
II(d ar b,c,Mis,10, 0xfe2ce6e0) 
II(c,d,a,b,M,15,0xa3014314) 
II(b,c,d,a, Ms,21,0x4e0811al) 
II(a,b,c,d,M, ,6,0xf7537e82) 
II(d,a, b,c, M1 ,10,0xbd3af235) 
II(¢c,d,a,b,M,,15,0x2ad7d2bb) 
II(b,c,d,a, Ms ,21,0xeb86d391) 


4 轮 循环 操作 完成 之 后 ,将 A、B、C、D 分 别 加 上 a、b、c、d, 即 





A=Ata 
B=B+6 
C=C+e 
D=D+td 
这 里 的 加 法 是 模 2 加法。 然后 用 下 一 分 组 数据 继续 运行 算法 。 


4) 输出 

对 每 个 分 组 都 作 相 应 的 处 理 以 后 ,最 后 的 输出 就 是 A、B、C 和 的 级 联 , 即 A 作为 低 
位 ,D 作为 高 位 ,共计 128 位 输出 。 

MD5 被 广泛 用 于 加 密 和 解密 技术 中 ,在 很 多 操作 系统 中 (如 Linux 等 ) ,用 户 的 密码 是 
以 MD5 值 的 方式 保存 的 。 用 户 在 登录 验证 时 ,系统 首先 把 用 户 输入 的 密码 计算 成 MD5 
值 ,然后 再 和 系统 中 保存 的 密码 MD5 值 进行 比较 。 在 该 操作 过 程 中 ,系统 在 不 知道 用 户 密 
码 的 情况 下 就 可 以 确定 用 户 登录 系统 的 合法 性 。 这 不 但 可 以 避免 用 户 的 密码 被 具有 系统 管 
理 员 权限 的 用 户 知道 ,而 且 还 在 一 定 程度 上 增加 了 密码 被 破解 的 难度 。 


3.2.3 SHA-1 


安全 散 列 算法 (Secure Hash Algorithm,SHA) 是 由 美国 国家 标准 与 技术 研究 院 提出 
的 ,并 于 1993 年 作为 联邦 信息 处 理 标准 (FIPS 180) 发 布 ,1995 年 又 发 布 了 其 修订 版 (FIPS 
180-1) ,通常 称 为 SHA-1。SHA 算法 也 是 建立 在 MD4 算法 之 上 的 ,其 设计 是 在 MD4 的 基 





础 上 改进 而 成 的 。 
SHA-1 算法 的 输入 是 长 度 小 于 2 位 的 消息 ,输出 是 160 位 的 散 列 值 ,输入 消息 以 512 
位 的 分 组 为 单位 进行 处 理 。 


与 MD5 算法 相同 ,SHA 算法 首先 也 需要 对 消息 进行 填充 补 位 。 补 位 是 这 样 进行 的 : 
先 添 加 一 个 1, 然 后 再 添加 若干 个 0, 使 得 消息 长 度 满足 对 512 取 模 后 余数 是 448。 以 “abc” 
为 例 显 示 补 位 的 过 程 。 
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原始 信息 : 
01100001 01100010 01100011 
补 位 第 一 步 : 
01100001 01100010 01100011 1 
首先 补 一 个 “1”, 然 后 补 423 个 “0”。 
补 位 第 二 步 : 
01100001 01100010 01100011 10…0 
可 以 把 最 后 补 位 完成 后 的 数据 用 十 六 进 制 写成 下 面 的 样子 
61626380 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 
现在 ,数据 的 长 度 是 448 了 ,可 以 进行 下 一 步 操作 。 
填充 完 信息 后 ,需要 将 原始 信息 的 长 度 补 到 已 经 进行 了 补 位 操作 的 信息 后 面 。 通 常用 
一 个 64 位 的 数据 来 表示 原始 信息 的 长 度 。 如 果 信 息 长 度 不 大 于 2” ,那么 第 一 个 字 就 是 0。 
在 进行 了 补 长 度 的 操作 以 后 ,整个 信息 就 变 成 下 面 的 样子 (十 六 进 制 格式 ): 
61626380 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000000 
00000000 00000000 00000000 00000018 
如 果 原 始 的 信息 长 度 超过 了 512, 需 要 将 它 补 成 512 的 倍数 。 然 后 把 整个 信息 分 成 几 
个 512 位 的 数据 块 ,分 别处 理 每 一 个 数据 块 ,从 而 得 到 散 列 值 。 
与 MD5 算法 不 同 ,SHA 的 中 间 结 果 和 最 终结 果 保 存在 160 位 的 缓冲 区 中 ,缓冲 区 用 5 
个 32 位 的 变量 表示 ,这 些 变量 初始 化 为 : 
A=0x67452301 
B=0xefcdab89 
C=0x98badcfe 
D=0x10325476 
E=0xc3d2elf0 
在 进入 主 循环 函数 处 理 前 ,将 上 面 5 个 变量 复制 到 5 个 变量 中 : A 到 a,B 到 5,C 到 c， 
D 到 d,E 到 e。 
当 设置 好 这 5 个 变量 后 ,就 开始 进入 4 轮 ,每 轮 20 步 的 循环 运算 ,循环 的 总 次 数 是 信息 
中 512 位 信息 分 组 的 数目 , 主 循环 结构 如 图 3. 3 所 示 。 每 一 步 操作 都 使 用 一 个 非 线性 的 逻 
辑 函 数 对 a、b、c.d、e 中 的 3 个 变量 进行 一 次 按 位 的 逻辑 运算 。 


这 几 个 非 线性 函数 定义 为 : 
(XAY)V (+X) AZ) 0<it<19 
XOY@Z 20 1<39 
FX = IPOY® . 


(XAYVIXAZDV (YAZ) 30 过 :过 59 
XdY 中 Z 40 二 上 二 79 
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图 3.3 SHA-1 的 主 循环 


其 中 , 人 、V 、” 和 由 分 别 是 与 或. 非 和 异 或 运算 。 
与 此 同时 ,每 一 步 操作 也 都 使 用 一 个 加 法 常量 氏 ,,K, 定义 如 下 : 
0x5a827999 0 过 上 过 19 
证 0x6ed9ebal 20 三 1 三 39 
‘ 0x8flbbcdc 40 过 上 过 59 
0xca62cl1d6 60 三 1+ 过 79 
这 些 数 的 取 值 来 自 于 0x5a827999 一 2” X V2 ,0x6ed9ebal = 二 2” X V3 ,0x8flbbcdc 一 
2 XV5 ,0xca62cld6=2” X V10 。 
接着 对 512 位 的 信息 进行 处 理 ,将 其 从 16 个 32 位 的 信息 分 组 (Mo ,… ,Mis) 变 成 80 个 
32 位 的 信息 分 组 (Wo，…,W)。 册 ,定义 如 下 : 
M, 当 上 = 0,1,.…,15 


(Ms DM 中 M -由 Mie)<<<1l t= 16,17,.%,79 

设 1 是 操作 序号 (1 二 0,…,79) ,<<<s 表示 循环 左 移 : 位 , 则 SHA-1 中 的 每 一 步 操作 可 表 
示 为 : 

TEMP= (a<<5)+f.(b,c,d)+et+W,+kK, 

e=d 

d=c 

c=b <<< 30 

b=a 

a=TEMP 

图 3.4 所 示 为 SHA-1 的 一 次 基本 操作 的 运算 过 程 。 在 4 轮 循环 结束 后 ,将 进行 : 








E=Ete 

这 里 的 加 法 是 模 2” 加 法 。 

然后 用 同样 的 方法 对 下 一 个 分 组 进行 运算 ,直到 所 有 分 组 都 处 理 完毕 ,最 后 将 A、B、C、 
DE 输出 ,就 得 到 SHA 的 散 列 值 。 
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a | <<<5 a 
b -=| <<<30 b 
非 线性 函数 
C C 
d d 
1 Y 
e | 十 | 十 | 十 | 十 e 
W, K 














图 3.4 SHA-1 的 基本 操作 过 程 


从 上 面 的 原理 可 以 看 出 ,通过 使 用 不 同 移 位 \、 不 同 逻 辑 函 数 和 不 同 初始 变量 ,SHA 和 
MD5 都 实现 了 同样 的 功能 。 

2001 年 , NIST 发布 FIPS 180-2, 新 增 了 3 个 喻 希 函 数 ,分 别 为 SHA-256、SHA-384 和 
SHA-512, 其 散 列 值 的 长 度 分 别 为 256、384 和 512。 同 时 ,NIST 指出 FIPS 180-2 的 目的 是 
要 与 使 用 AES 而 增加 的 安全 性 相 适 应 。SHA 性 质 对 比如 表 3. 1 所 示 。 


表 3.1 SHA 性 质 对比 





性 质 SHA-1 SHA-256 SHA-384 SHA-512 
散 列 值 长 度 160 256 384 512 
信息 长 度 < <2% < < 
分 组 大 小 512 512 1024 1024 
字 长 32 32 64 64 
步 数 80 80 80 80 


3.3 消息 认证 技术 


消息 认证 是 指使 合法 的 接收 方 能 够 检验 消息 是 否 真 实 的 过 程 。 检 验 内 容 包括 验证 通信 
的 双方 和 验证 消息 内 容 是 否 伪 造 或 遭 到 算 改 。 消 息 认 证 技术 主要 通过 密码 学 的 方法 来 实 
现 ,对 通信 双方 的 验证 可 采用 数字 签名 和 身份 认证 技术 ,对 消息 内 容 是 否 伪 造 或 遭 自 改 通常 
使 用 的 方式 是 在 消息 中 加 入 一 个 认证 码 , 并 加 密 后 发 送 给 接收 方 , 接 收 方 通过 对 认证 码 的 比 
较 来 确认 消息 的 完整 性 。 

本 节 首 先 对 消息 认证 技术 进行 概述 ,然后 介绍 基于 密码 学 的 各 种 认证 方法 。 
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3.3.1 概述 


随 着 因特网 技术 的 发 展 ,对 网 络 传输 过 程 中 信息 的 保密 性 提出 了 更 高 的 要 求 ,主要 包括 
以 下 内 容 : 

(1) 对 敏感 的 信息 进行 加 密 , 即 使 别人 截取 信息 也 无 法 得 到 其 内 容 。 

(2) 保证 数据 的 完整 性 ,防止 截获 人 在 信息 中 加 入 其 他 信息 。 

(3) 对 数据 和 信息 的 来 源 进行 验证 ,以 确保 发 信人 的 身份 。 

现在 业界 普遍 采用 加 密 技术 来 实现 以 上 要 求 ,实现 消息 的 安全 认证 。 消 息 认证 就 是 验 
证 所 收 到 的 消息 确实 是 来 自 真正 的 发 送 方 且 未 被 修改 的 消息 ,也 可 以 验证 消息 的 顺序 和 及 
时 性 。 

消息 认证 实际 上 是 对 消息 产生 一 个 指纹 信息 一 -MAC( 消 息 认 证 码 ) ,消息 认证 码 是 利 
用 密 钥 对 待 认 证 消息 产生 的 新 数据 块 ,并 对 该 数据 块 加 密 得 到 的 。 它 对 待 保护 的 信息 来 说 
是 唯一 的 ,因此 可 以 有 效 地 保证 消息 的 完整 性 ,以 及 实现 发 送 消息 方 的 不 可 抵赖 和 不 能 伪 
造 性。 

消息 认证 技术 可 以 防止 数据 伪造 和 算 改 ,以 及 证 实 消息 来 源 的 有 效 性 ,已 广泛 应 用 于 当 
今 的 信息 网 络 环境 中 。 随 着 密码 技术 与 计算 机 计算 能 力 的 提高 ,消息 认证 码 的 实现 方法 也 
在 不 断 地 改进 和 更 新 ,实现 方式 的 多 样 化 为 安全 的 消息 认证 提供 了 保障 。 


3.3.2 消息 认证 方法 


消息 认证 主要 使 用 密码 技术 来 实现 。 在 实际 使 用 中 ,通过 消息 认证 函数 了 产生 用 于 鉴 
别 的 消息 认证 码 , 将 其 用 于 某 个 身份 认证 协议 ,发送 方 和 接收 方 通过 消息 认证 码 对 其 进行 相 
应 的 认证 。 

由 此 可 见 , 在 消息 认证 中 ,认证 函数 f 是 认证 系统 的 一 个 重要 组 成 部 分 。 常 见 的 认证 
函数 主要 有 以 下 3 种 。 

(1) 消息 加 密 : 将 整个 消息 的 密 文 作为 认证 码 。 

(2) 哈 希 函数 : 通过 哈 希 函数 产生 定 长 的 散 列 值 作为 认证 码 。 

(3) 消息 认证 码 (Message Authentication Code, MAC): 将 消息 与 密 钥 一 起 产生 定 长 
值 作 为 认证 码 。 

1. 基于 加 密 方法 的 消息 认证 

就 加 密 的 方式 而 言 , 加 密 可 以 基于 对 称 加 密 的 消息 认证 和 基于 非 对 称 加 密 的 消息 认证 。 

基于 对 称 加 密 方 式 的 消息 认证 简单 明了 ,如 图 3. 5 所 示 , 假 设 K 是 通信 双方 共同 拥有 
的 会 话 密 钥 ,发 送 方 A 只 需 使 用 开 对 消息 M 进行 加 密 ,将 密 文 C 发 送 给 接收 方 B 即 可 。 由 
于 密 钥 民 只 有 A 和 也 共同 拥有 ,因此 能 够 保证 消息 的 机 密 性 。 此 外 ,由 于 A 是 除 B 外 唯一 








密 钥 K 密 钥 K 


图 3.5 基于 对 称 加 密 方式 的 消息 认证 过 程 


第 3 章 信息 认证 技术 69 





拥有 密 钥 和 产生 正确 密 文 M 的 一 方 ,车 BB 使 用 K 对 密 文 C 进行 解密 还 原 出 正确 的 消息 M ， 
就 可 以 知道 消息 M 的 内 容 没有 遭 到 自 改 ,同时 也 保证 消息 来 自 A。 

然而 ,在 实际 使 用 中 ,简单 的 加 密 并 不 能 达到 真正 消息 认证 的 目的 。 消 息 M 对 接收 方 
也 来 说 是 未 知 的 ,因此 当 B 对 密 文 进行 解密 后 ,如 何 判断 M 的 合法 性 。 如 果 M 本 身 具 有 某 
种 结构 ,如 文本 文章 ,那么 B 只 需 对 解密 后 的 消息 进行 结构 上 的 分 析 即 可 判断 M 的 合法 性 。 
但 是 ,在 实际 通信 中 ,消息 M 可 能 是 随机 的 二 进 制 位 序列 ,如 可 执行 代码 、 声 音 文件 等 ,即使 
B 解密 后 仍 无 法 判断 消息 M 是 否 是 合法 的 。 

解决 这 一 问题 的 方法 是 发 送 方 在 对 消息 M 进行 加 密 前 ,首先 对 消息 通过 校 验 函 数 
F(*) 产 生 一 个 校 验 码 ,将校 验 码 附 加 在 消息 M 之 上 , 青 进行 加 密 , 整 个 过 程 如 图 3.6 所 示 。 
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密 钥 K 密 钥 K | 是 否 一 致 ? 





消息 M 上 一 | 消息 MM (we 解密 消息 M 
| F(M) DO FM) 











图 3.6 添加 校 验 码 的 消息 认证 过 程 


在 公开 密 钥 加 密 体 制 中 ,如 图 3. 7 所 示 ,发 送 方 A 可 以 使 用 自己 的 私 钥 Kas 对 消息 M 
进行 加 密 , 由 于 只 有 对 应 A 的 公 钥 KAp 才 能 正确 解密 出 消息 M, 因 此 采用 该 方法 可 以 对 消 
息 M 的 来 源 进 行 认 证 。 同 时 ,该 方法 和 前 面 所 讲 的 对 称 加 密 方 法 一 样 , 在 实际 应 用 中 需要 
在 消息 M 加 密 之 前 附加 一 定 的 校 验 码 来 提高 认证 的 能 力 。 


消息 MY Cn PL (人 消息 MY 


密 钥 Kas 密 钥 Kep 密 钥 Kes 密 钥 Kap 


图 3.7 基于 公 钥 加 密 的 消息 认证 过 程 


























由 于 解密 时 使 用 的 是 A 的 公 钥 Kap ,因此 该 方法 不 能 保证 消息 的 机 密 性 ,要 保证 消息 
的 机 密 性 ,必须 使 用 接收 方 B 的 公 钥 Kss 。A 可 以 先 使 用 自己 的 私 钥 Kas 对 消息 进行 加 密 ， 
然后 再 使 用 接收 方 B 的 公 钥 Kap 进行 加 密 , 则 同时 既 保 证 了 机 密 性 ,又 提供 了 消息 认证 的 
能 力 。 

2. 基于 哈 希 函数 的 消息 认证 

哈 希 函数 由 于 其 单 向 性 和 抗 碰 撞 性 ,因此 常用 来 做 消息 认证 。 哈 希 函 数 以 一 个 变 长 的 
消息 M 作为 输入 ,产生 一 个 具有 固定 长 度 的 散 列 值 也 (MD) ,也 称 为 消息 摘要 。 散 列 值 是 原 
始 消息 的 函数 ,原始 信息 任何 内 容 的 变化 都 将 导致 散 列 值 的 改变 ,因此 可 用 于 检测 信息 的 完 
整 性 。 

简单 的 消息 认证 方法 可 以 用 通信 双方 的 共享 密 钥 K 对 散 列 值 媚 C(M) 进行 加 密 ,将 加 
密 后 的 结果 C 二 Er(H(M)) 以 附件 的 方式 附着 在 消息 M 上 进行 传输 ,接收 方 收 到 消息 
后 ,只 需 对 C 进行 解密 , 即 可 获得 散 列 值 昌 (M) ,然后 使 用 哈 希 函数 对 消息 M 计算 另 一 个 
散 列 值 有 “(MD ,通过 比较 HH(MD 与 H'(M) 二 者 是 否 匹 配 , 即 可 完成 对 消息 进行 的 认证 ,如 
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图 3.8 所 示 。 
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密 钥 K 密 钥 K 
图 3.8 使 用 哈 希 函数 的 消息 认证 过 程 
若 需 要 保证 消息 的 机 密 性 ,可 将 散 列 值 附加 在 消息 上 ,并 使 用 双方 的 会 话 密 钥 K 对 其 
进行 加 密 ,得 到 加 密 后 的 密 文 C= Ek COM | HCM)), 并 对 其 进行 传输 ,如 图 3. 9 所 示 。 由 于 
哈 希 函数 的 散 列 值 具有 对 原始 消息 进行 差错 检测 的 能 力 , 因 此 接收 方 可 以 通过 这 种 方式 来 
验证 消息 是 否 遭 到 算 改 。 因 为 只 有 使 用 通信 双方 所 拥有 的 会 话 密 钥 K 才能 对 密 文 进行 解 
密 ,因此 只 要 密 钥 不 泄露 就 可 验证 消息 来 自 正确 的 发 送 方 ,同时 也 保证 了 消息 的 机 密 性 。 
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- 致 ? 


是 
是 芭 








HM) 一 
图 3.9 保证 机 密 性 的 哈 希 函数 消息 认证 过 程 


采用 公 钥 加 密 的 方法 同样 可 以 用 于 消息 认证 。 该 方法 是 发 送 方 A 使 用 自己 的 私 钥 
KAs 对 散 列 值 了 HCM) 进 行 加 密 , 将 加 密 后 的 密 文 C= Eras (H(M)) 附 在 原始 消息 M 上 进行 
传输 。 接 收 方 B 只 需 使 用 A 的 公 钥 对 密 文 进行 解密 ,得 到 散 列 值 HCM) 后 就 能 对 消息 进行 
认证 。 

同样 ,如 果 保 证 消息 的 机 密 性 ,可 使 用 接收 方 B 的 公 钥 人 ae 对 消息 M 和 加 密 后 的 密 文 
C 二 Ekas(H(M)) 进 行 加 密 , 得 到 新 的 密 文 X= Eksp (M | Erkas (H(M)))。 由 于 使 用 了 接收 
方 B 的 公 钥 进行 加 密 , 因 此 只 有 正确 的 接收 方 B 才能 对 密 文 进行 正确 解密 ,从 而 保证 了 消 
息 的 机 密 性 的 同时 ,也 提供 了 认证 的 能 力 。 

采用 公 钥 进行 非 对 称 加 密 能 提供 很 好 的 机 密 性 ,而 且 与 对 称 加 密 相 比 , 密 钥 的 管理 相对 
容易 。 但 由 于 非 对 称 加 密 算法 产生 的 密 文 不 紧凑 ,加 密 速度 慢 , 不 适合 加 密 数 据 量 较 大 的 消 
息 , 因 此 在 实际 使 用 中 ,常常 将 对 称 加 密 与 公 钥 加 密 合 起 来 一 起 使 用 。 具 体 方法 是 使 用 一 个 
对 称 密 钥 K 对 消息 M 和 加 密 后 的 密 文 C= 二 Eras (HCM) ) 进 行 加 密 , 再 使 用 接收 方 B 的 公 钥 
Ksp 对 密 钥 KK 进行 加 密 , 将 两 个 加 密 结果 进行 传输 ,如 图 3. 10 所 示 。 由 于 使 用 密 钥 K 对 消 
息 进行 了 加 密 , 同 时 使 用 了 接收 方 的 公 钥 Ka 对 密 钥 K 进行 加 密 , 因 此 只 有 正确 的 接收 方 B 
才能 获得 对 称 密 钥 K ,保证 了 消息 的 机 密 性 和 认证 功能 。 同 时 ,由 于 对 称 加 密 的 速度 较 快 ， 
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因此 在 保证 了 安全 性 的 基础 上 提高 了 运算 的 速度 。 
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密 钥 Kap 
图 3.10 混合 加 密 认证 


3. 基于 消息 认证 码 (MAC) 的 消息 认证 

使 用 消息 认证 码 进行 消息 认证 ,其 基本 思想 与 使 用 喻 希 函数 类 似 ,同样 都 是 对 消息 产生 
一 个 定 长 的 输出 ,用 于 鉴别 消息 的 完整 性 。 然 而 使 用 哈 希 函数 的 时 候 往 往 需 要 对 散 列 值 进 
行 加 密 , 如 果 在 不 需要 保证 消息 机 密 性 的 条 件 下 ,使 用 加 密会 影响 速度 。 消 息 认证 码 在 进行 
定 长 输出 的 时 候 ,使 用 了 一 个 密 钥 来 和 消息 一 起 产生 定 长 的 输出 ,这 个 定 长 的 输出 就 是 消息 
认证 码 。 

消息 认证 码 的 使 用 过 程 如 图 3. 11 所 示 ,假设 通信 双方 A、B 拥有 会 话 密 钥 人 ,用 于 产生 
MAC 的 函数 为 C。 当 发 送 方 A 要 向 接收 方 B 发 送 消息 M 时 , 先 计 算出 消息 M 的 MAC 
值 , 即 MAC==Cxk (MD) ,然后 将 MAC 值 附加 在 消息 M 上 一 起 发 送 给 B。 接 收 方 B 收 到 消息 
后 ,使 用 与 发 送 方 相同 的 会 话 密 钥 K 计算 出 消息 M 的 MAC 值 ,然后 与 发 送 方 A 发 送 过 来 
的 MAC 值 进行 比较 ,车 二 者 匹配 , 则 消息 合法 。 由 于 共享 密 钥 K 只 有 A 和 B 共 享 ,攻击 者 
想 算 改 消息 M, 但 没有 密 钥 ,那么 计算 出 来 的 MAC 值 将 与 原先 的 MAC 值 不 同 ,因此 接 
收 方 B 就 能 通过 比较 MAC 值 来 判断 消息 的 合法 性 。 
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图 3.11 基于 消息 认证 码 的 认证 过 程 
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MAC 函数 与 加 密 函 数 的 相似 之 处 在 于 使 用 了 密 钥 ,但 差别 在 于 加 密 函 数 是 可 道 的 ,而 
MAC 函数 是 单 向 的 , 它 无 须 可 道 ,因此 比 加 密 更 不 容易 破解 。 当 然 , 使 用 MAC 函数 只 能 保 
证 信息 的 完整 性 , 若 要 保证 信息 的 机 密 性 ,仍然 要 使 用 加 密 的 方法 来 保证 ,具体 方法 与 使 用 
哈 希 函数 的 方法 类 似 。 

创建 MAC 函数 常见 的 一 种 方法 是 采用 分 组 算法 的 CBC 模式 来 产生 消息 认证 码 。 基 
于 DES 的 MAC 算法 是 一 种 常见 的 MAC 算法 ,该 算法 采用 DES 运算 的 密码 分 组 连接 
(CBC) 方 式 , 其 初始 向 量 为 0, 将 需要 认证 的 数据 分 成 连续 的 64 位 分 组 Di ,D;,… ,Dw ,如 果 
最 后 一 个 分 组 不 足 64 位 , 则 在 其 后 用 0 填充 成 64 位 的 分 组 数据 块 。 具 体 计算 过 程 如 下 : 

Gi = Ex(D;) 
C: = Erx(D;: ® C1) 
Cs: = Er(D: ® C;) 





Cy = Ek (Dy ® Cw1) 

其 中 ,E(*) 表 示 DES 的 加 密 算法 ,K 表示 加 密 密 钥 。 最 后 的 消息 认证 码 由 Cw 最 左边 
的 M 位 表示 (16M<64)。 

哈 希 函数 同样 也 可 以 用 来 产生 消息 认证 码 。 假 设 K 是 通信 双方 A 和 B 共同 拥有 的 密 
钥 ,A 要 发 送 消息 M 给 B 时 ,在 不 需要 进行 加 密 的 条 件 下 ,A 只 需 将 M 和 上 合 起 来 一 起 通 
过 哈 希 函数 计算 出 其 散 列 值 , 即 HCM | K) ,该 散 列 值 就 是 M 的 消息 认证 码 。 由 于 密 钥 开 
只 有 A 和 B 才 共享 ,因此 攻击 者 能 够 获得 消息 M, 但 没有 密 钥 K 也 无 法 计算 出 正确 的 散 列 
值 ,从 而 保证 了 消息 M 的 完整 性 。 


3.4 数字 签名 


数字 签名 是 采用 密码 学 的 方法 对 传输 中 的 明文 信息 进行 加 密 , 以 保证 信息 发 送 方 的 合 
法 性 ,同时 防止 发 送 方 的 欺骗 和 抵赖 。 可 以 说 ,数字 签名 在 网 络 信息 安全 中 起 到 和 现实 生活 
中 签名 一 样 的 功能 。 本 节 首 先 介绍 数字 签名 的 原理 ,接着 介绍 两 类 数字 签名 方法 , 即 直 接 签 
名 和 仲裁 签名 ,最 后 介绍 数字 签名 标准 (Digital Signature Standard,DSS) 的 原理 。 


3.4.1 数字 签名 概述 


在 实际 网 络 通信 中 ,用 户 可 能 受到 来 自 多 方面 的 攻击 。 在 现实 环境 中 ,可 以 通过 当面 交 
易 的 方式 或 通过 手写 签名 盖 章 的 方式 来 解决 通信 双方 的 欺骗 和 抵赖 行为 。 但 在 网 络 环境 
中 ,每 个 人 都 是 虚拟 的 ,如 何 能 够 实现 同 现实 中 手写 签名 类 似 的 功能 ,这 就 是 数字 签名 要 解 
决 的 问题 。 在 了 解数 字 签 名 概念 之 前 , 先 看 下 面 的 例子 。 

用 户 A 与 BB 相互 之 间 要 进行 通信 ,双方 拥有 共享 的 会 话 密 钥 K ,在 通信 过 程 中 可 能 会 
过 到 以 下 问题 。 

(1) A 伪造 一 条 消息 ,并 称 该 消息 来 自 B。A 只 需要 产生 一 条 伪造 的 消息 ,用 A 和 B 的 
共享 密 钥 通过 哈 希 函数 产生 认证 码 ,并 将 认证 码 附 于 消息 之 后 。 由 于 哈 希 函数 的 单 向 性 和 
密 钥 K 是 共享 的 ,因此 无 法 证 明 该 消息 是 A 伪造 的 。 
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(2) B 可 以 否认 曾经 发 送 过 某 条 消息 。 因 为 任何 人 都 有 办 法 伪造 消息 ,所 以 无 法 证 明 B 
是 否 发 送 过 该 消息 。 

上 述 例子 说 明 使 用 哈 希 函数 可 以 进行 报 文 鉴 别 , 但 无 法 阻止 通信 用 户 的 欺骗 和 抵赖 
行为 。 

因此 , 当 通 信 双 方 不 能 互相 信任 的 情况 下 ,需要 用 除了 报 文 鉴 别 以 外 的 技术 来 防止 类 似 
的 抵赖 和 欺骗 行为 。 

数字 签名 也 称 为 电子 签名 。1999 年 通过 的 欧盟 (电子 签名 共同 框架 指令 ) 对 其 定义 为 : 
“以 电子 形式 所 附 或 逻辑 上 与 其 他 电子 数据 相关 的 数据 ,作为 一 种 判别 的 方法 。” 

2001 年 审议 通过 的 联合 国贸 法 会 (电子 签名 示范 法 ) 对 其 定义 为 :“ 在 数据 电文 中 以 电 
子 形式 所 含 、 所 附 或 在 逻辑 上 与 数据 电文 有 联系 的 数据 , 它 可 用 于 鉴别 与 数据 电文 相关 的 签 
名 人 和 表明 签名 人 认可 数据 电文 所 含 信息 。” 

由 此 可 见 , 数 字 签 名 应 该 能 够 在 数据 通信 过 程 中 识别 通信 双方 的 真实 身份 ,保证 通信 的 
真实 性 及 不 可 抵赖 性 ,起 到 与 手写 签名 或 盖 章 同等 作用 。 

数字 签名 的 基本 原理 可 以 描述 如 下 。 

假设 A 要 发 送 一 个 电子 文件 给 B,A、B 双方 只 需 经 过 下 面 3 个 步骤 即 可 。 

(1) A 用 其 私 钥 加 密 文 件 , 这 便 是 签名 过 程 。 

(2) A 将 加 密 的 文件 送 到 B。 

(3) B 用 A 的 公 钥 解 开 A 送 来 的 文件 。 

以 上 方法 符合 Schneier 总 结 的 5 个 签名 特征 。 

(1) 签名 是 可 信 的 。 因 为 B 是 用 A 的 公 钥 解 开 加 密 文件 的 ,这 说 明 原 文件 只 能 被 A 的 
私 钥 加 密 , 而 只 有 A 才 知 道 自己 的 私 钥 。 

(2) 签名 是 无 法 被 伪造 的 。 因 为 只 有 A 知道 自己 的 私 钥 ,因此 只 有 A 能 用 自己 的 私 钥 
加 密 一 个 文件 。 

(3) 签名 是 无 法 重复 使 用 的 。 签 名 在 这 里 就 是 一 个 加 密 过 程 , 自 己 无 法 重复 使 用 。 

(4) 文件 被 签名 以 后 是 无 法 被 算 改 的 。 因 为 加 密 的 文件 被 改动 后 是 无 法 被 A 的 公 钥 解 
开 的 。 

(5) 签名 具有 不 可 否认 性 。 因 为 除 A 以 外 无 人 能 用 A 的 私 钥 加 密 一 个 文件 。 


3.4.2 数字 签名 的 实现 


实现 数字 签名 的 方法 有 多 种 ,这 些 方 法 可 分 为 两 类 : 直接 数字 签名 和 仲裁 数字 签名 。 

1. 直接 数字 签名 

直接 数字 签名 实现 比较 简单 ,只 涉及 通信 双方 。 在 直接 数字 签名 中 ,接收 方 需要 知道 发 
送 方 的 公 钥 ,按照 上 面 提 到 的 数字 签名 的 3 个 步 又 直接 实现 就 可 以 了 。 但 在 数字 签名 的 具 
体 应 用 中 还 有 一 些 问 题 需要 解决 。 

签名 后 的 文件 可 能 被 B 重 复 使 用 。 例 如 ,如 果 签 名 后 的 文件 是 一 张 支票 ,B 很 容易 多 次 
用 该 电子 支票 兑换 现金 ,为 此 A 需要 在 文件 中 加 上 一 些 该 支票 的 特有 凭证 ,如 时 间 截 
(Timestamp) 等 ,以 防止 上 述 情况 发 生 。 

另外 , 公 和 钥 算法 的 效率 是 相当 低 的 ,不 宜 用 于 长 文件 信息 的 加 密 , 为 此 可 以 采用 Hash 
函数 ,将 原文 件 信 息 M 通过 一 个 单 向 的 Hash 函数 作用 ,生成 相当 短 的 输出 互 , 即 Hash 
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(M) 二 旦 ,然后 青 将 公 钥 算法 作用 在 瓦 上 生成 签名 S , 记 作 Eu (H) 二 5, 为 A 的 私 钥 ,A 
将 MI S 传 给 B,B 收 到 MI S 后 ,需要 验证 S 是 否 为 A 的 签名 。 

通过 比较 Hi 二 H;, 即 Du (S) 王 HashCM) ,如 果 它 们 相等 ,就 可 以 认为 S 就 是 A 的 
签名 。 

以 上 方法 实际 上 就 是 把 签名 过 程 从 对 原文 件 转移 到 一 个 很 短 的 Hash 值 上 ,大 大 地 提 
高 了 效率 ,并 被 广泛 采用 。 如 图 3. 12 所 示 ,直接 数字 签名 过 程 可 以 总 结 为 以 下 步骤 。 

(1) 发 送 方 首先 对 被 发 送 文件 采用 哈 希 函数 进行 运算 ,得 到 一 个 固定 长 度 的 数字 串 , 称 
为 报 文摘 要 。 

(2) 发 送 方 生成 发 送 文件 的 报 文摘 要 ,用 自己 的 私 钥 对 摘要 进行 加 密 ,形成 发 送 方 的 数 
字 签 名 S。 

(3) 这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 M 一 起 发 送 给 接收 方 。 

(4) 接收 方 接收 到 报 文 后 ,用 同样 的 哈 希 算法 计算 出 新 的 报 文摘 要 ,再 用 发 送 方 的 公 钥 
对 报 文 附件 的 数字 签名 进行 解密 ,比较 两 个 报 文 摘要 ,如 果 值 相同 ,接收 方 就 能 确认 该 数字 
签名 是 发 送 方 的 。 









































3.12 直接 数字 签名 


以 上 数字 签名 只 涉及 通信 双方 ,并 且 假定 接收 方 知道 发 送 方 的 公开 密 钥 , 称 为 直接 数字 
签名 。 

直接 数字 签名 的 弱点 是 : 签名 的 有 效 性 依赖 于 发 送 方 私人 密 钥 的 安全 性 ,如 果 发 送 方 
的 私人 密 钥 丢失 或 被 次 用 ,攻击 者 就 可 以 伪造 签名 。 这 个 弱点 可 以 通过 仲裁 的 方式 来 解决 。 

2. 仲裁 数字 签名 

由 于 直接 数字 签名 存在 安全 缺陷 ,在 实际 应 用 中 多 采用 仲裁 数字 签名 ,通过 引入 仲裁 者 
来 解决 直接 数字 签名 中 的 问题 。 

在 仲裁 数字 签名 中 ,假设 用 户 A 与 B 要 进行 通信 ,每 个 从 A 发 往 B 的 签名 报 文 首先 都 
先 发 送 给 仲裁 者 C,C 检验 该 报 文 及 其 签名 的 出 处 和 内 容 , 然 后 对 报 文 注 明 日 期 ,同时 指明 
该 报 文 已 通过 仲裁 者 的 检验 ,如 图 3. 13 所 示 。 仲 裁 者 的 引入 解决 了 直接 签名 方案 中 所 面临 
的 问题 , 即 发 送 方 的 否认 行为 。 在 这 种 方案 中 ,仲裁 者 的 地 位 十 分 关键 和 敏感 , 它 必须 是 一 











个 所 有 通信 方 部 能 充分 信任 的 仲裁 机 构 , 也 就 是 说 仲裁 者 C 
必须 是 一 个 可 信 的 系统 。 Eee | 
下 面 讨论 仲裁 数字 签名 的 实现 方案 。 图 3.13 仲裁 签名 


方案 1: 采用 对 称 加 密 算法 的 数字 签名 。 
设 C 是 可 信 第 三 方 , 它 能 同时 与 A、B 通信 。 它 与 A 有 共享 密 钥 KA ,与 B 有 共享 密 
钥 Ks。 
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(1) A 产生 报 文 M 并 计算 其 散 列 值 H (MD ,然后 将 附加 了 数字 签名 的 报 文 发 送 给 仲裁 
者 C, 并 用 Ks 加密, 数字 签名 由 A 的 标识 符 IDs 和 报 文 的 散 列 值 互 C(M) 构 成 。 

(2) 仲裁 者 C 对 数字 签名 进行 解密 ,验证 其 散 列 值 是 有 效 散 列 值 。 

(3) 验证 后 ,C 向 B 发 送 一 个 报 文 ,用 Ks 加 密 , 该 报 文 包括 A 的 标识 符 IDA、A 发 出 的 
原始 报 文 M、A 的 数字 签名 和 时 间 稚 工 。 

(4) B 解 密 恢 复出 报 文 和 签名 。 

时 间 惟 的 作用 是 让 B 能 够 判断 M 是 否 是 过 时 的 报 文 。 

如 果 用 符号 

P—>Q:M 
来 表示 “P 向 Q 发 送 一 个 报 文 M”, 那 么 上 述 方案 就 可 以 表述 为 : 

(1) A—>C: M| Exa (IDa | HOM) 

(2) C—>B: Exrs (ID, | MI Era (IDa | HOW) IT) 

B 可 以 存储 报 文 M 及 签名 , 当 发 生 争 执 时 B 可 将 下 列 消息 发 送 给 C, 以 证 明 曾 收 到 过 
来 自 A 的 报 文 : 

Ers (IDa | M || Era (IDs, | HOMD)) 

仲裁 者 C 先 用 Ks 恢复 出 IDs .M 和 签名 ,然后 用 Ks 解密 该 签名 并 验证 其 散 列 值 ,这 
样 可 断定 报 文 M 是 否 来 自 A。 

在 这 种 方案 中 ,B 不 能 直接 验证 A 的 签名 ,签名 是 用 来 解决 争端 的 。B 可 以 认定 报 文 
M 来 自 A 是 因为 M 经 过 了 C 的 验证 ,这 种 方案 中 通信 双方 A、B 对 C 是 高 度 信任 的 , 即 A 
可 以 相信 C 不 会 泄露 KA ,因此 不 会 产生 伪造 的 签名 。B 也 相信 C 发 送 的 报 文 M 是 经 过 验 
证 的 ,确实 来 自 A。 此 外 ,A、B 还 必须 相信 C 能 公平 地 解决 争端 。 

这 种 方案 的 缺陷 在 于 报 文 M 的 内 容 是 以 明文 的 形式 传送 给 仲裁 者 C, 任 何 攻 击 者 都 能 
获取 该 消息 。 

方案 2: 使 用 对 称 密码 算法 , 密 文 传输 。 

方案 2 是 在 方案 1 的 基础 上 加 强 了 数据 的 机 密 性 。 在 此 方案 中 ,通信 双方 A、B 使 用 共 
享 密 钥 Ks 来 加 密 所 要 传送 的 报 文 M。A 向 C 传送 的 报 文中 包含 A 的 标识 符 IDA 、 使 用 Ks 
加 密 原 始 报 文 M 后 的 密 文 及 数字 签名 ,其 中 数字 签名 是 由 IDA 和 加 密 报 文 的 散 列 值 构成 
的 。 仲 裁 者 C 经 过 检验 ,将 收 到 的 报 文 添 加 时 间 截 后 ,加 密 发 送 给 接收 方 B。 整 个 交互 过 程 
可 以 表述 如 下 : 

(1) A 一 C: IDA || Exs (M) |‖EkA(IDA || HGCEksCM))) 

(2) C—>B: Erka(IDA || Exs (M) ‖ Exa (IDs || BCExsCOM)) 1T) 

在 这 种 方案 中 ,尽管 仲裁 者 C 无 法 读 取消 息 报 文 M 中 的 内 容 , 但 他 仍 能 防止 A 或 B 中 
任何 一 方 的 欺诈 。 但 两 种 方案 都 存在 的 问题 是 : 仲裁 者 C 可 能 与 发 送 方 勾结 来 否认 签名 报 
文 ,或 者 与 接收 方 共同 伪造 发 送 方 的 签名 。 

方案 3: 使 用 公开 密 钥 算法 , 密 文 传输 。 

针对 上 述 两 种 方案 的 缺陷 ,采用 公开 密 角 方案 就 能 够 迎刃而解 。 使 用 公开 密 钥 进行 数 
字 签 名 时 ,A 对 报 文 M 进行 两 次 加 密 : 先 用 其 私 钥 KAs 对 消息 M 进行 加 密 , 再 用 B 的 公 钥 
Ka 加密, 得 到 加 密 后 的 签名 ; A 再 用 Kas 对 其 标识 符 IDs 和 上 述 加 密 后 的 签名 进行 加 密 ， 
然后 连同 IDA 一 起 发 送 给 C。 经 过 双重 加 密 后 , 报 文 M 只 有 B 才能 阅读 ,对 C 来 说 是 安全 
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的 ,但 C 能 通过 外 层 的 解密 ,从 而 证 实 报 文 确实 是 来 自 A 的 (因为 只 有 A 有 私 钥 Kas)。C 
通过 验证 A 的 公 / 私 钥 对 (Kap 和 Kas) 的 有 效 性 完成 对 报 文 的 验证 。 然 后 C 再 用 自己 的 私 
钥 Kcs 对 A 的 标识 符 IDa 、 双 重 加 密 后 的 M 及 时 间 戳 进行 加 密 后 发 送 给 B。 整 个 交互 过 程 
可 以 表述 如 下 : 

(1) A—=C: IDA || Exns (IDA | Erse (Erxns (M))) 

(2) C—>B: Excs(IDa || Erksp (Eras (CM)) | T) 

采用 公开 密 钥 的 数字 签名 方案 具有 许多 优点 : 首先 ,通信 前 ,通信 各 方 没有 任何 共享 信 
息 , 从 而 避免 了 联合 欺诈 ; 其 次 ,A 发 给 B 的 消息 对 其 他 人 是 保密 的 ,包括 C; 最 后 ,即使 A 
的 私 钥 Kas 已 泄密 或 被 瓷 ,但 C 的 私 钥 Kes 没 有 泄密 ,那么 时 间 戳 不 正确 的 消息 是 不 能 被 发 
送 的 。 
3.4.3 数字 签名 标准 


数字 签名 标准 (DSS) 是 美国 国家 标准 与 技术 研究 院 在 1991 年 提出 作为 美国 联邦 信 
息 处 理 标准 (FIPS) 。 它 采用 了 美国 国家 安全 局 (NSA) 主持 开发 的 数字 签名 算法 (Digital 
Signature Algorithm,DSA) ,DSS 使 用 安全 散 列 算法 (SHA) ,给 出 一 种 新 的 数字 签名 方法 。 
DSS 在 提出 后 ,分 别 于 1993 年 和 1996 年 做 了 修改 。2000 年 发 布 该 标准 的 扩充 版 , 即 
FIPS 186-2, 其 中 包括 基于 RSA 和 椭圆 曲线 密码 的 数字 签名 算法 。 本 节 只 介绍 最 初 修订 
的 DSS 。 

DSS 的 数字 签名 方法 与 RSA 的 数字 签名 方法 不 同 。 如 图 3. 14 所 示 ,在 RSA 方法 中 ， 
散 列 函数 的 输入 是 要 签名 的 消息 ,输出 是 定 长 的 散 列 值 , 用 发 送 方 的 私 钥 对 该 散 列 值 进行 加 
密 而 形成 签名 。 接 收 方 接收 到 消息 及 其 签名 后 用 发 送 方 的 公 钥 对 收 到 的 签名 进行 解密 , 同 
时 采用 相同 的 散 列 函数 计算 收 到 的 消息 的 散 列 值 , 如 果 两 个 散 列 值 相 同 , 则 认为 签名 是 有 


效 的 。 
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3.14 RSA 数字 签名 方法 


DSS 方法 也 使 用 散 列 函 数 , 它 产生 的 散 列 值 及 其 为 此 次 签名 产生 的 随机 数 & 作为 签名 
函数 的 输入 。 此 外 ,签名 函数 还 需要 使 用 发 送 方 的 私 钥 和 一 组 参数 ,这 组 参数 被 一 组 通信 伙 
伴 所 共享 ,通常 认为 这 组 参数 构成 全 局 公 钥 。 签 名 的 结果 由 两 部 分 组 成 , 记 作 s 和 wr。 接收 
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方 对 接收 到 的 消息 产生 散 列 值 ,并 和 签名 一 起 作为 验证 函数 的 输入 , 若 签 名 有 效 , 验 证 函数 
的 输出 会 等 于 签名 分 量 ~。 签 名 函数 保证 只 有 发 送 方 的 私 钥 才能 产生 有 效 的 签名 。DSS 数 
字 签 名 流程 如 图 3. 15 所 示 。 
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图 3.15 DSS 数字 签名 方法 


DSS 的 核心 是 其 定义 的 数字 签名 算法 (DSA) ,该 算法 是 基于 离散 对 数 分 解 十 分 困难 这 
个 数学 难题 。 该 算法 中 有 3 个 主要 参数 p、g、g 作为 全 局 的 公开 密 钥 ,它们 被 一 组 用 户 所 
共享 。 

(1) p 是 一 个 大 素数 ,长 度 为 512 一 1024, 即 2 二 "1! 二 p 二 2: ,512 志 L1024, 且 是 64 的 
倍数 。 

(2) gq 是 一 个 长 度 为 160 位 的 素数 ,g 能 整除 p 一 1, 即 2: 过 gq<21%, 目 (p 一 1) mod q 一 0。 

(3) g 一 Nb mod p, 其 中 1<h 过 (p 一 ]), 且 h%-?% mod pp 之 1 的 任何 整数 。 

确定 pg、g 以 后 ,每 个 用 户 就 可 以 确定 其 私 钥 并 产生 公 钥 。 

私 钥 x 必须 是 一 个 1~g 一 1 的 随机 数 或 伪 随 机 数 。 

公 钥 y 可 以 由 私 钥 z 计算 得 出 : y=g”mod p。 由 给 定 的 xz 计算 y 比较 简单 ,但 由 给 定 
的 y 确定 xz, 其 计算 复杂 度 非常 高 ,在 计算 上 是 不 可 行 的 ,因为 这 就 是 求 y 的 以 g 为 底 的 模 
p 的 离散 对 数 。 

签名 是 通过 签名 函数 计算 产生 的 ,该 函数 包含 两 个 分 量 ~ 和 s。r 和 * 是 公 钥 (p、g、g)、 
用 户 私 钥 z、 消 息 的 散 列 值 (MD) 和 随机 数 k& 的 函数 ,k 在 每 次 签名 中 都 是 不 同 的 。 

签名 函数 (Sig) 定 义 如 下 

r= fi(k,pqg) = (g* mod p) modg 
s= fi(H(M) ,zyr'q) 一 (人 (DCOM) 十 mr)) modg 

其 中 , :表示 & 模 4 的 乘法 着 元 ,签名 一 (~,s*) 。 

DSS 签名 函数 如 图 3. 16 所 示 。 

DSS 验证 函数 (Ver) 如 图 3. 17 所 示 。 

w= fa(s’,g) = (s) modg 
ui = [H(Mw] modg 
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us 一 (rz mod gq 
v= fi(y,qrgr HM wr) = [gy mod p] modg 
检验 v= 。 















































是 否 一 致 ? 
图 3.16 DSS 签名 函数 图 3.17 DSS 验证 函数 





在 图 3. 16 和 图 3. 17 中 ,该 算法 有 这 样 一 个 特点 : 接收 方 的 验证 依赖 于 ,但 x 却 不 依 
赖 于 原始 消息 , 它 是 上 和 全 局 公 钥 的 函数 。& 模 思 的 乘法 逆 元 传 给 函数 f,,f 的 输入 还 包 
含 消息 的 散 列 值 和 用 户 私 钥 。 函 数 的 这 种 结构 使 接收 方 可 利用 其 收 到 的 消息 和 签名 、 他 的 
公 钥 和 全 局 公 钥 来 恢复 r。 由 于 离散 对 数 的 求解 困难 性 ,攻击 者 想 从 7 恢复 出 或 从 恢复 
出 xz 都 是 不 可 行 的 。 

从 计算 的 复杂 度 来 看 ,DSS 数字 签名 的 计算 量 主要 是 g* mod p。 由 于 它 不 依赖 于 被 签 
名 的 消息 ,因此 可 以 预先 计算 。 另 一 项 计算 量 较 大 的 工作 是 计算 的 乘法 逆 元 & ,当然 也 
可 以 采用 预先 计算 的 方法 。 


3.5 身份 认证 


身份 认证 是 建立 安全 通信 环境 的 前 提 条 件 , 只 有 通信 双方 相互 确认 对 方 身份 后 才能 通 
过 加 密 等 手段 建立 安全 信道 ,同时 它 也 是 授权 访问 (基于 身份 的 访问 控制 ) 和 审计 记录 等 服 
务 的 基础 ,因此 身份 认证 在 网 络 信息 安全 中 占据 着 十 分 重要 的 位 置 。 这 些 协 议 在 解决 分 布 
式 , 尤 其 是 开放 环境 中 的 信息 安全 问题 时 起 到 非常 重要 的 作用 。 


3.5.1 概述 


身份 认证 的 目的 在 于 对 通信 中 某 一 方 的 身份 进行 标识 和 验证 。 其 方法 主要 是 验证 用 户 
所 拥有 的 可 被 识别 的 特征 。 一 个 身份 认证 系统 一 般 由 以 下 几 个 部 分 组 成 : 一 方 是 提出 某 种 
申请 要 求 , 需 要 被 验证 身份 的 人 ; 另 一 方 是 验证 者 ,验证 申请 者 身份 的 人 ; 第 三 方 是 攻击 
者 ,可 以 伪装 成 通信 中 的 任何 一 方 , 或 者 对 消息 进行 窃取 等 攻击 的 人 。 与 此 同时 ,在 某 些 认 
证 系统 需要 引入 第 四 方 , 即 可 信任 的 机 构 作 为 仲裁 或 调解 机 构 。 

现实 世界 中 的 身份 认证 可 以 通过 出 示 带 相片 的 身份 证 件 来 完成 , 某 些 特殊 的 区 域 可 能 
还 使 用 指纹 或 虹膜 等 生物 特征 对 进出 人 员 的 身份 进行 确认 。 不 管用 什么 方法 ,身份 认证 机 
制 就 是 将 每 个 人 的 身份 标识 出 来 ,并 确认 其 身份 的 合法 性 。 

在 计算 机 系统 中 ,传统 的 物理 身份 认证 机 制 并 不 适用 ,其 身份 认证 主要 通过 口令 和 身份 


第 3 章 信息 认证 技术 79 





认证 协议 来 完成 。 在 计算 机 网 络 通信 中 ,身份 认证 就 是 用 某 种 方法 来 证 明正 在 被 鉴别 的 用 
户 身份 是 合法 的 授权 者 。 

口令 技术 由 于 其 简单 易 用 ,因此 成 为 目前 一 种 常用 的 身份 认证 技术 。 使 用 口令 技术 存 
在 的 最 大 隐患 就 是 口令 的 泄露 问题 。 口 令 泄 露 可 以 有 多 种 途径 ,如 登录 时 被 他 人 窥视 、 攻 击 
者 从 计算 机 存放 口令 的 文件 中 获取 ,口令 被 在 线 攻 击 者 破解 .也 可 能 被 离线 攻击 者 破解 。 

由 于 基于 口令 的 认证 方法 存在 较 大 的 问题 ,因此 在 网 络 环境 中 , 常 使 用 身份 认证 协议 来 
鉴别 通信 中 的 对 方 是 否 合法 ,是 否 与 他 所 声称 的 身份 一 致 。 身 份 认证 协议 是 一 种 特殊 的 通 
信 协 议 , 它 定义 了 参与 认证 服务 的 所 有 通信 方 在 身份 认证 过 程 中 需要 交换 的 消息 格式 、 消 息 
发 生 的 次 序 及 消息 的 语义 。 在 通信 过 程 中 ,通常 采用 加 密 算法 、 哈 希 函 数 来 保证 消息 的 完整 
性 、 保 密 性 。 

使 用 密码 学 方法 的 身份 认证 协议 比 传统 的 基于 口令 的 认证 更 安全 ,并 能 提供 更 多 的 安 
全 服务 。 通 过 使 用 各 种 加 密 算法 ,可 以 对 通信 过 程 中 的 密 钥 进行 很 好 的 保护 。 在 通信 过 程 
中 , 当 需 要 传输 用 户 提供 的 口令 时 ,可 以 将 用 户口 令 首先 进行 加 密 处 理 , 对 加 密 后 的 口令 进 
行 传输 ,在 接收 端 再 进行 相应 的 解密 处 理 , 从 而 对 用 户口 令 或 密 钥 进行 很 好 的 保护 。 

身份 认证 协议 一 般 有 两 个 通信 方 ,可 能 还 会 有 一 个 双方 都 信任 的 第 三 方 参与 。 其 中 一 
个 通信 方 按照 协议 的 规定 向 另 一 方 或 第 三 方 发 出 认证 请 求 , 对 方 按照 协议 的 规定 作出 响应 ， 
当 协议 顺利 执行 完毕 时 双方 应 该 确信 对 方 的 身份 。 

从 使 用 加 密 的 方法 来 看 ,身份 认证 可 分 为 基于 对 称 密 钥 的 身份 认证 和 基于 公 钥 加 密 的 
身份 认证 。 

基于 对 称 密 钥 的 身份 认证 思想 是 从 口令 认证 的 方法 发 展 而 来 的 。 传 统 检验 对 方 传递 来 
的 口令 是 否 合法 的 做 法 很 简单 ,口令 容易 在 传递 过 程 中 被 窃听 而 泄露 。 因 此 在 实际 网 络 环 
境 中 ,必须 采用 既 能 够 验证 对 方 拥有 共同 的 秘密 ,又 不 会 在 通信 过 程 中 泄露 该 秘密 的 方法 。 
与 此 同时 ,在 实际 通信 过 程 中 ,一 台 计 算 机 可 能 需要 与 多 台 计 算 机 进行 身份 认证 ,如 果 全 部 
采用 共享 密 钥 的 方式 ,那么 就 需要 与 众多 的 计算 机 都 建立 共享 密 钥 。 这 样 做 在 大 型 网 络 环 
境 中 既 不 经 济 也 不 安全 ,同时 大 量 共享 密 钥 的 建立 、 维 护 和 更 新 将 是 非常 复杂 的 。 这 时 需要 
一 个 可 信赖 的 第 三 方 来 负责 完成 密 钥 的 分 配 工 作 , 称 为 密 钥 分 发 中 心 (Key Distribution 
Center,KDC)。 在 通信 开始 阶段 ,通信 中 的 每 一 方 都 只 与 KDC 有 共享 密 钥 ,通信 双方 之 间 
的 认证 借助 KDC 才能 完成 。KDC 负责 给 通信 双方 创建 并 分 发 共享 密 钥 ,通信 双方 获得 共 
享 密 钥 后 再 使 用 对 称 加 密 算 法 的 协议 进行 相互 之 间 的 身份 认证 。 

基于 公 钥 加 密 的 身份 认证 协议 比 基 于 对 称 密 钥 的 身份 认证 能 提供 更 强 有 力 的 安全 保 
障 , 公 钥 加 密 算法 可 以 让 通信 中 的 各 方 通过 加 密 、 解 密 运算 来 验证 对 方 的 身份 。 在 使 用 公 钥 
方式 进行 身份 认证 时 需要 事先 知道 对 方 的 公 钥 ,因此 同样 需要 一 个 可 信 第 三 方 来 负责 分 发 
公 钥 。 在 实际 应 用 中 , 公 钥 的 分 发 是 采用 证 书 的 形式 来 实现 的 。 证 书 中 含有 证 书 所 有 人 的 
名 字 、 身 份 信息 、 公 钥 ,以 及 签发 机 构 、 签 发 日 期 序列 号 有效 期 等 相关 数据 ,并 用 证 书 权 威 
机 构 自 己 的 私 钥 进 行 签名 。 证 书 被 设计 存放 在 目录 服务 系统 中 ,通信 中 的 每 一 方 都 拥有 证 
书 权威 机 构 的 公 钥 ,可 以 从 目录 服务 中 获得 通信 对 方 的 证 书 , 通 过 验证 证 书 权 威 机 构 签名 可 
以 确认 对 方 证 书 中 公 钥 的 合法 性 。 

与 此 同时 ,从 认证 的 方向 性 来 看 ,可 分 为 相互 认证 和 单 向 认证 。 

相互 认证 用 于 通信 双方 的 互相 确认 ,同时 可 进行 密 钥 交换 。 认 证 过 程 中 密 钥 分 配 是 重 
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点 。 保 密 性 和 时 效 性 是 密 钥 交 换 中 的 两 个 重要 问题 。 从 机 密 性 的 角度 来 看 ,为 防止 假冒 和 
会 话 密 钥 的 泄露 ,用户 的 身份 信息 和 会 话 密 钥 等 重要 信息 必须 以 密 文 的 形式 传送 。 另 一 方 
面 ,攻击 者 可 以 利用 重 放 攻击 对 会 话 密 钥 进行 攻击 或 假冒 通信 双方 中 的 某 一 方 , 密 钥 的 时 效 
性 可 防止 重 放 攻 击 的 威胁 。 

常见 的 重 放 攻 击 如 下 。 

(1) 简单 重 放 。 攻 击 者 简单 地 复制 消息 并 在 此 之 后 重 放 这 条 消息 。 

(2) 可 检测 的 重 放 。 攻 击 者 在 有 效 的 时 限 内 重 放 有 时 间 戳 的 消息 。 

(3) 不 可 检测 的 重 放 。 由 于 原始 消息 可 能 被 禁止 而 不 能 到 达 接 收 方 ,只 有 通过 重 放 消 
息 才能 发 送 给 接收 方 ,此 时 可 能 出 现 这 种 攻击 。 

(4) 不 加 修改 的 逆向 重 放 。 如 果 使 用 对 称 密码 ,并 且 发 送 方 不 能 根据 内 容 来 区 分 发 出 
的 消息 和 接收 的 消息 ,那么 可 能 出 现 这 种 攻击 。 

对 于 重 放 攻 击 ,一 般 可 使 用 以 下 方式 来 预防 。 

(1) 序列 号 。 这 种 方法 是 为 每 个 需要 认证 的 消息 添加 一 个 序列 号 ,新 的 消息 到 达 后 先 
对 序列 号 进行 检查 ,只 有 满足 正确 次 序 的 序列 号 的 消息 才能 被 接收 。 这 种 方法 存在 的 一 个 
问题 就 是 通信 各 方 都 必须 记录 最 近 处 理 的 序列 号 ,而 且 还 必须 保持 序列 号 的 同步 。 

(2) 时 间 戳 。 这 种 方法 是 为 传送 的 报 文 添 加 时 间 戳 , 当 接收 到 新 的 消息 时 ,首先 对 时 间 
蕉 进行 检查 ,只 有 在 消息 的 时 间 戳 与 本 地 时 钟 足 够 接近 时 才 认 为 该 消息 是 一 个 新 的 消息 。 
时 间 截 要 求 通 信 各 方 必 须 保持 时 钟 的 同步 。 使 用 时 间 玲 方法 存在 3 个 问题 : 第 一 ,通信 各 
方 的 时 间 同 步 需 要 由 某 种 协议 来 维持 ,同时 为 了 能 够 应 对 网 络 的 故障 和 恶意 攻击 ,该 协议 还 
必须 具有 容错 性 和 安全 性 ; 第 二 ,如 果 由 于 通信 一 方 时 钟 机 制 出 错 ,那么 攻击 者 的 成 功率 将 
大 大 增加 ; 第 三 ,网 络 延 时 的 可 变性 和 不 可 预知 性 不 可 能 保持 各 分 布 时 钟 精确 同步 ,因此 需 
要 申请 足够 大 的 时 间 窗 口 以 适应 网 络 延 时 ,这 与 小 时 间 窗 口 的 要 求 是 矛盾 的 。 

(3) 随机 数 /响应 。 这 种 方法 是 在 接收 消息 前 首先 要 发 送 一 个 临时 的 交互 号 (随机 数 )， 
并 要 求 所 发 送 的 消息 要 包含 该 临时 交互 号 。 随 机 数 / 响 应 不 适合 于 无 连接 的 应 用 ,因为 它 要 
求 在 任何 无 连接 传输 之 前 必须 先 握手 ,这 与 无 连接 的 特征 相 违 背 。 

单 向 认证 主要 用 于 电子 邮件 等 应 用 中 。 其 主要 特点 在 于 发 送 方 和 接收 方 不 需要 同时 在 
线 。 以 电子 邮件 为 例 , 邮 件 消息 发 送 到 接收 方 的 电子 邮箱 中 ,并 一 直 保 存在 邮箱 中 ,等 待 接 
收 方 阅读 邮件 。 电 子 邮件 的 存储 -转发 一 般 是 由 SMTP( 简 单 邮件 传输 协议 ) 或 X. 400 来 处 
理 的 ,因此 邮件 报头 必须 是 明文 形式 。 但 是 ,用 户 都 希望 邮件 以 密 文 的 形式 传输 或 转发 , 邮 
件 要 能 够 加 密 ,而 且 邮 件 处 理 系统 无 法 对 其 进行 解密 。 此 外 ,电子 邮件 的 认证 还 包括 邮件 的 
接收 方 必须 能 够 确认 邮件 消息 是 来 自 真正 的 发 送 方 。 


3.5.2 基于 口令 的 身份 认证 


基于 口令 (password) 的 认证 方法 是 传统 的 认证 机 制 , 主 要 用 于 用 户 对 远程 计算 机 系统 
的 访问 ,确定 用 户 是 否 拥有 使 用 该 系统 或 系统 中 的 服务 的 合法 权限 。 由 于 使 用 口令 的 方法 
简单 ,容易 记忆 ,因此 成 为 比较 广泛 采用 的 一 种 认证 技术 。 基 于 口令 的 身份 认证 一 般 是 单 向 
认证 。 

常见 的 使 用 口令 的 方法 是 采用 哈 希 函数 对 口令 进行 验证 。 假 设 用 户 A 想 要 登录 服务 
器 系统 S, 这 时 用 户 A 只 需 向 服务 器 发 送 服务 器 分 配给 他 的 IDA 号 和 口令 PWA, 即 : 
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A 一 S: IDa PWA 

服务 器 在 收 到 用 户 发 送 过 来 的 信息 后 ,首先 将 收 到 的 PWA 通过 哈 希 函数 电 (* ) 产 生 散 
列 值 ,然后 在 自己 的 口令 文档 或 数据 库 中 查找 与 (IDa,H(PWa)) 相 匹配 的 记录 ,如 果 找 到 ， 
则 认证 成 功 ,允许 用 户 使 用 自己 的 服务 。 在 这 种 方法 中 ,为 了 确定 用 户 是 否 有 合法 的 权限 使 
用 该 系统 ,服务 器 只 要 能 够 区 分 输入 的 口令 是 有 效 的 还 是 无 效 的 即 可 ,并 不 需要 知道 口令 本 
身 的 内 容 。 因 此 ,即使 攻击 者 通过 窃听 双方 通信 或 窃取 了 服务 器 中 的 口令 列表 ,得 到 了 
及 (PWA) ,也 无 法 假冒 用 户 A 来 进行 攻击 。 

在 上 述 方法 中 ,服务 器 保存 了 用 户 的 口令 列表 ,虽然 该 列表 是 口令 的 散 列 值 , 但 存在 着 
一 定 的 不 安全 因素 。 由 于 用 户 的 口令 通常 都 比较 短 , 因 此 当 攻击 者 C 已 经 获得 服务 器 的 口 
令 列 表 时 ,可 采用 以 下 的 方法 进行 攻击 。 攻 击 者 C 可 以 在 本 地 搜集 很 多 个 常用 的 口令 (如 
100 万 个 ) ,然后 用 哈 希 函数 对 这 些 口 令 进行 计算 ,得 到 相应 的 散 列 值 , 将 这 些 结果 存储 起 
来 。 然 后 将 服务 器 的 口令 列表 和 自己 存储 的 文件 相 比 较 , 得 到 匹配 的 数据 ,这 样 攻击 者 C 
就 获得 了 某 个 或 某 些 用 户 的 口令 ,这 种 攻击 方式 称 为 字典 攻击 (Dictionary Attack) 。 

为 了 消除 字典 攻击 ,服务 器 中 建立 的 口令 列表 记录 可 以 修改 成 (ID,salt, H(PW ,salt)) 
的 形式 。ID 表示 用 户 的 身份 ,salt 表示 一 个 随机 数 ,有 H(PW ,salt) 表 示 用 户口 令 和 随机 数 合 
起 来 的 散 列 值 。 

在 这 种 方式 中 ,用 户 的 口令 在 发 送 给 服务 器 之 前 ,首先 和 随机 数 一 起 进行 散 列 ,产生 散 
列 值 H(PW ,salt) , 即 

A— S: IDA | salt || PWA 

服务 器 在 收 到 用 户 的 消息 后 ,在 自己 的 口令 列表 中 查找 与 (IDA ,salt, H(PWA ,salt)) 匹 
配 的 记录 ,如 果 找 到 , 则 人 允许 A 访问 自己 的 服务 。 

添加 salt 的 方法 虽然 能 抵抗 字典 攻击 ,但 也 有 一 定 的 安全 隐患 , 即 不 能 抵抗 口令 窃听 的 
攻击 , 即 攻击 者 使 用 各 种 方法 获得 用 户口 令 的 明文 ,从 而 进行 相应 的 攻击 。 

口令 窃听 攻击 之 所 以 成 功 的 原因 ,很 大 一 部 分 在 于 用 户 每 次 登录 时 总 是 使 用 同一 个 口 
令 。 如 果 用 户 每 次 登录 都 使 用 不 同 的 “口令 ”, 那 么 攻击 者 进行 口令 窃听 攻击 成 功 的 概率 将 
大 大 降低 。 

还 有 一 种 方法 称 为 哈 希 链 方法 ,在 该 方法 中 ,服务 器 首先 对 用 户 进行 初始 化 ,保存 用 户 
最 初 的 口令 记录 (ID,n,H,(PW)), 其 中 ID 是 用 户 的 身份 标识 ,n 是 一 个 整数 ,H(.) 是 喻 希 
函数 ,H, (PW) 定 义 为 H, (PW) 二 H(H,_1(PW)) .n= 二 1,2,…, 即 对 用 户口 令 PW 通过 哈 希 
函数 产生 散 列 值 , 并 将 该 散 列 值 青 通 过 哈 希 函数 产生 新 的 散 列 值 ,以 此 类 推 ,一 共 进 行 n 次 
喻 希 运算 。 用 户 在 登录 时 只 需要 记 住 自己 的 口令 PW, 当 用 户 登录 到 服务 器 时 ,服务 器 会 更 
新 所 保存 的 用 户 记 录 。 

当 客 户 机 进行 首次 口令 认证 时 ,客户 机 对 口令 PW 重复 计算 喻 希 函 数 n 一 1 次 ,得 到 
是,_1(PW)。 客 户 机 将 计算 结果 发 送 给 服务 器 ,服务 器 收 到 昌 ,_, (PW) 后 ,再 进行 一 次 喻 希 
函数 的 运算 ,得 到 H, (PW), 并 检查 新 的 散 列 值 是 否 与 自己 保存 的 用 户 记录 中 的 相 匹 配 。 
如 果 匹 配 , 则 表示 认证 通过 ,服务 器 确定 对 方 就 是 合法 授权 的 用 户 。 接 着 ,服务 器 更 新 所 保 
存 的 口令 记录 ,用 (ID,n 一 1,H,_1(PW)) 更 新 (ID,n,H,(PW))。 

在 这 种 方法 中 ,由 于 用 户 发 给 服务 器 的 口令 PW 通过 喻 希 函 数 计算 后 得 到 H, (PW) 的 
次 数 是 不 同 的 ,而 且 哈 希 函 数 是 单 向 的 ,因此 攻击 者 无 法 从 有 H, (PW) 中 得 到 有 用 的 信息 , 即 
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使 攻击 者 通过 某 种 手段 获得 了 服务 器 所 保存 的 口令 列表 也 无 法 得 到 用 户 的 口令 PW。 
在 基于 哈 希 链 的 认证 方法 中 ,作为 计数 器 的 nn 值 是 变化 的 ,依次 递减 到 1, 当 最 终 减 
为 1 时 ,客户 机 和 服务 器 端 需要 重新 初始 化 以 设置 口令 。 


3.5.3 基于 对 称 密 钥 的 身份 认证 


1. 基于 对 称 密 钥 的 双向 身份 认证 

在 基于 对 称 密 钥 的 双向 身份 认证 方法 中 ,可 以 通过 使 用 两 层 传统 的 加 密 密 钥 结构 来 保 
证 网 络 环境 中 通信 的 保密 性 。 这 种 方法 要 使 用 一 个 可 信赖 的 密 钥 分 配 中 心 C(KDC)。 通 信 
各 方 与 KDC 都 有 一 个 共享 的 密 钥 , 称 为 主 密 钥 ,KDC 负责 产生 通信 各 方 通信 时 短期 使 用 的 
密 钥 , 称 为 会 话 密 钥 , 主 密 钥 负 责 保 护 会 话 密 钥 的 分 发 。 

1) Needham-Schroeder 协议 

Needham-Schroeder 协议 利用 KDC 进行 密 钥 分 配 , 同 时 具备 了 身份 认证 的 功能 。 假 设 
通信 双方 A.B 和 KDC 分 别 共享 密 钥 KA 和 Ks。 

(1) A>KDC: IDA || IDs | Ni， 

(2) KDC—A: Ex, (Ks | IDs || Ni || Exs (Ks || IDA)) 

(3) A—B: Ers(Ks | IDA) 

(4) B>A: Exs(N;) 

(5) A—>B: Exs(f(N,)) 

该 协议 的 目的 是 要 保证 将 会 话 密 钥 Ks 安全 地 分 配给 A 和 B。 

第 1 步 ,A 将 他 的 身份 信息 IDs、B 的 身份 信息 IDa 及 一 个 作为 临时 交互 值 的 随机 数 Ni 
组 成 的 消息 发 给 KDC, 表 明 A 要 与 B 认 证 并 通信 。 

第 2 步 ,KDC 产生 A、B 之 间 的 会 话 密 钥 Ks, 用 KDC 与 B 的 共享 密 钥 Ks 对 会 话 密 钥 
Ks 和 A 的 身份 信息 IDA 进行 加 密 , 然 后 用 它 和 A 的 共享 密 钥 Ks 对 随机 数 Ni 、B 的 身份 
信息 IDs 会 话 密 钥 Ks 和 已 加 密 的 信息 进行 加 密 , 然 后 将 它 发 送 给 A。 

第 3 步 ,A 将 消息 解密 并 获得 Ks ,比较 N 和 第 一 步 所 发 送 的 Ni 是 否 一 致 ,然后 将 
KDC 发 来 的 用 Ks 加 密 的 消息 发 送 给 B。 

第 4 步 ,B 对 消息 进行 解密 并 获得 Ks ,然后 产生 另 一 随机 数 Nz ,用 Ks 加 密 并 发 送 
给 A。 
第 5 步 ,A 对 消息 解密 ,并 用 函数 产生 新 的 结果 ,并 用 Ks 加 密 ,然后 发 给 B。 
第 6 步 ,B 对 消息 解密 ,并 验证 它 是 否 是 f 产生 的 结果 。 
在 这 个 过 程 中 ,第 4.5 步 可 以 防止 某 些 重 放 攻 击 。 例 如 , 若 攻 击 者 窃听 到 第 3 步 中 的 报 
文 并 进行 重 放 , 重 放 报 文中 的 Ks 是 一 个 过 期 的 会 话 密 钥 ,车 没有 第 4、5 步 的 交互 过 程 ,B 将 
试图 使 用 这 个 过 期 密 钥 , 从 而 产生 混乱 。 

尽管 如 此 ,该 协议 仍然 存在 漏洞 .容易 受到 重 放 攻击 。 例 如 ,攻击 者 X 可 能 从 某 些 途径 
获得 一 个 过 期 的 会 话 密 钥 。X 就 可 以 冒充 A 重 放 第 3 步 的 报 文 ,欺骗 BB 使 用 过 期 的 会 话 密 
钥 , 除 非 B 明确 记得 以 前 与 A 通信 所 使 用 的 所 有 会 话 密 钥 ,否则 B 无 法 确定 是 否 是 重 放 的 
消息 。 

2) Denning 协议 

Denning 协议 对 Needham-Schroeder 协议 进行 了 修改 ,引入 了 时 间 蕉 机 制 ,整个 过 程 
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如 下 : 

(1) A>KDC: IDA | IDs 

(2) KDC—>A: Er,(Ks | IDs | TH Er, (Ks IIDA || T)) 

(3) A—>B: Ers(Ks | ID | T) 

(4) B>A: Ers(N1) 

(5) A>B: Ers(f(N1)) 

时 间 惟 使 A 和 B 确 信和 会 话 密 钥 Ks 是 最 新 产生 的 ,这 样 A 和 B 都 知道 此 次 交换 的 是 
一 个 新 的 会 话 密 钥 。A 和 B 通过 验证 下 列 式 子 来 验证 密 钥 的 及 时 性 : 

|c 一 工 | 一 An 十 At 

其 中 ,c 是 本 地 时 钟 的 时 间 值 , 工 是 报 文 携带 的 时 间 戳 ,An 是 KDC 时 钟 与 本 地 时 钟 的 正常 
偏差 ,At 是 网 络 的 正常 时 延 值 , 满 足 该 公式 的 时 间 戳 被 认为 是 合法 的 。 由 于 是 使 用 与 KDC 
的 共享 密 钥 对 时 间 戳 进行 加 密 , 因 此 即使 攻击 者 知道 旧 的 会 话 密 钥 ,也 不 能 成 功 地 重 放 消 
息 , 因 为 了 可 以 根据 消息 的 及 时 性 检测 出 来 。 

与 Needham-Schroeder 协议 相 比 ,Denning 协议 的 安全 性 更 高 ,但 同时 也 带 来 了 新 的 问 
题 , 即 如 何 安全 准确 地 通过 网 络 进行 时 钟 同步 。 因 此 ,该 协议 也 存在 着 一 定 的 危险 ,由 于 时 
钟 同步 机 制 的 出 错 或 受到 破坏 ,通信 各 方 的 时 钟 不 同步 ,协议 将 容易 遭 到 重 放 攻 击 。 例 如 ， 
发 送 方 的 时 钟 快 于 接收 方 的 时 钟 ,攻击 者 可 以 窃听 到 发 送 端的 报 文 , 由 于 报 文中 的 时 间 戳 快 
于 接收 方 的 本 地 时 间 ,攻击 者 可 以 等 到 接收 方 时 钟 等 于 报 文 时 间 戳 时 重 放 该 报 文 , 这 种 重 放 
可 能 导致 不 可 预知 的 结果 ,这 样 的 攻击 称 为 抑制 - 重 放 攻 击 。 

解决 抑制 - 重 放 攻击 的 一 种 方法 是 要 求 通信 各 方 必须 根据 KDC 的 时 钟 周期 性 地 校 验 
时 钟 。 另 一 种 方法 是 基于 随机 数 的 临时 交互 值 的 认证 协议 , 它 不 要 求 时 钟 同步 ,并 且 接 收 的 
临时 交互 值 对 发 送 方 而 言 是 不 可 预知 的 ,从 而 不 易 受 到 抑制 - 重 放 攻 击 。 

3) Neuman-Stubblebine 协议 

Neuman-Stubblebine 协议 提出 目的 是 为 了 试图 解决 抑制 - 重 放 攻击 ,同时 解决 
Needham-Schroeder 协议 中 出 现 的 问题 : 

(1) A—>B: ID | Ni 

(2) B>KDC: IDs | N; || Er, (IDs || N', || T) 

(3) KDC—A: Era (IDs || Ni || Ks | T) | Ers (IDa || Ks || T) | Ns; 

(4) A 一 B: Erke(IDA || Ks || T) || Ers CN;) 

第 1 步 ,A 发 起 认证 。A 产生 临时 交互 值 Ni ,连同 自己 的 身份 信息 IDA 以 明文 的 形式 
发 送 给 B, Ni 的 作用 是 在 进行 密 钥 分 发 时 将 返回 给 A,A 通过 验证 N; 的 值 来 确认 消息 的 时 
效 性 。 

第 2 步 ,B 向 KDC 申请 会 话 密 钥 。B 将 A 的 身份 信息 IDA ,临时 交互 值 Ni 及 时 间 蕉 
用 他 和 KDC 的 共享 密 钥 Ks 加 密 ,把 加 密 结果 自己 的 身份 信息 IDs 和 新 的 临时 交互 值 N。 
一 起 发 送 给 KDC。 其 中 用 Ks 加 密 的 数据 Ers (IDa | Ni eT) 的 作用 是 请 求 KDC 向 A 发 
布 一 个 可 信和 的 “票据 ,指定 了 “票据 ”的 接收 者 有 效 期 ,以 及 A 发 送 的 临时 交互 值 Ni 。 

第 3 步 ,KDC 产生 会 话 密 钥 Ks ,然后 产生 两 个 消息 。 第 一 个 消息 是 由 B 的 身份 信息 
IDs、A 的 临时 交互 值 Ni ,会 话 密 钥 Ks 和 时 间 截 组 成 ,并 用 他 与 A 的 共享 密 钥 Ks 加 密 ; 第 
二 个 消息 是 由 A 的 身份 信息 IDA 会话 密 钥 Ks 和 时 间 戳 组 成 ,并 用 他 与 B 的 共享 密 钥 Ks 
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加 密 。 将 这 两 个 消息 连同 B 的 临时 交互 值 N; 一 起 发 送 给 A。 时 间 戳 了 给 出 了 会 话 密 钥 的 
使 用 时 限 ,IDa 用 于 证 实 B 已 经 收 到 初始 报 文 ,Ni 能 够 检测 重 放 攻 击 。 

第 4 步 ,A 用 KDC 与 B 的 共享 密 钥 Ks 加 密 的 消息 和 加 密 后 的 Ns 发 送 给 B。B 从 加 
密 消息 中 得 到 共享 密 钥 并 解密 出 N; ,通过 比较 N, 来 鉴别 消息 是 来 自 A 还 是 一 次 重 放 
攻击 。 

这 个 协议 为 A、B 双方 建立 会 话 提供 了 一 种 安全 有 效 的 会 话 密 钥 交换 方式 。 在 协议 中 ， 
时 间 截 工具 是 相对 B 的 本 地 时 钟 ,也 只 有 B 对 其 进行 校 验 ,因此 不 需要 时 钟 的 同步 。 同 时 ， 
A 可 以 保存 用 于 鉴别 B 的 消息 ,可 以 减少 与 KDC 的 多 次 交互 。 假 设 A、B 完成 了 上 面 的 协 
议和 通信 ,然后 终止 连接 ,A 要 和 B 再 次 建立 新 的 会 话 时 ,只 要 A 保存 了 原 有 的 消息 ,并 在 
密 钥 的 有 效 期 限 内 ,不 必 依赖 KDC ,就 能 够 在 3 步 之 内 重新 进行 身份 认证 。 

(1) A—>B: Exrs[IDs || Ks | TN Ni 

(2) B>A: Ns | Exs (Ni) 

(3) A 一 B: ErksCN2) 

B 在 第 1 步 收 到 消息 后 可 以 验证 密 钥 有 没有 过 期 ,新 产生 的 Ni 、N: 用 来 检测 是 否 有 重 
放 攻 击 。 

2. 基于 对 称 密 钥 的 单 向 身份 认证 

基于 对 称 密 钥 的 单 向 认证 一 般 也 采用 以 KDC 为 基础 的 方法 。 但 是 在 电子 邮件 的 应 用 
中 ,无 法 要 求 发 送 方 和 接收 方 同 时 在 线 , 因 此 在 协议 过 程 中 不 存在 双方 的 交互 。 具 体 过 程 
如 下 : 

(1) A>KDC: IDA || IDs || Ni， 

(2) KDC—>A: ExaLKs | IDs | N' || Ers (Ks || IDA)] 

(3) A 一 B: Ers(IDs || Ks) ‖ Exs (CM) 

可 以 看 出 ,该 协议 比较 简洁 ,可 以 保证 只 有 真正 的 接收 方才 能 读 取消 息 , 同 时 也 可 以 保 
证 发 送 方 的 确 是 A ,但 同样 无 法 抵抗 重 放 攻 击 。 由 于 电子 邮件 的 转发 和 处 理 过 程 中 存在 时 
延 较 大 ,因此 通过 添加 时 间 惟 的 方式 来 抵抗 重 放 攻击 的 可 能 性 不 大 。 


3.5.4 基于 公 钥 的 身份 认证 


1. 基于 公 钥 的 双向 身份 认证 

1) Denning-Sacco 协议 

在 公开 密 钥 加 密 的 身份 认证 中 ,也 需要 有 一 个 类 似 的 中 心 系统 来 分 发 通信 各 方 的 公开 
密 钥 证 书 。 因 为 在 没有 认证 中 心 或 密 钥 分 配 中 心 的 情况 下 ,要 使 通信 各 方 都 能 拥有 对 方 的 
当前 公 钥 是 不 切实 际 的 。 

Denning-Sacco 协议 是 一 种 使 用 时 间 戳 机 制 的 公 钥 分 配 和 认证 方法 。 假 设 通信 双方 分 
别 为 A 和 B,AS 为 认证 服务 器 。 

(1) A>AS: ID | IDs 

(2) AS>A: Erksas(IDA | Kea || T) || Exsas (IDs || Krs || T) 

(3) A 一 B: Ersas (IDa || Kpa || T) | Ersas (IDs | Kes || T) || Exp (Ersa (Ks || T)) 

其 中 ,Kpa 、Ksa 、Kps、Kss 分 别 为 A 和 B 的 公 钥 和 私 钥 。Kpas 和 Ksas 分 别 为 AS 的 公 钥 
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和 私 钥 。 在 这 个 协议 中 ,认证 中 心 系 统 不 负责 密 钥 的 分 配 ,而 是 提供 公 钥 证 书 ,所 以 称 为 认 
证 服务 器 (AS)。 会 话 密 钥 Ks 的 选择 和 加 密 完全 由 A 来 完成 ,因此 不 存在 被 AS 泄露 的 危 
险 。 同 时 使 用 了 时 间 惟 机制, 可 以 防止 重 放 攻 击 对 密 钥 安全 性 的 威胁 。 

这 个 协议 简洁 明了 ,但 不 足 之 处 仍然 是 需要 严格 的 时 钟 同步 才能 保证 协议 的 安全 。 

2) Woo-Lam 协议 

Woo-Lam 协议 使 用 随机 数 作为 临时 交互 值 来 代替 时 间 戳 , 它 是 一 种 以 KDC 为 中 心 的 
认证 协议 。 

(1) A 一 KDC: IDA | IDs 

(2) KDC—A: Exsx (IDs || Kps) 

(3) A—B: Errs (Ni || ID,) 

(4) B>KDC: IDs | IDa | Ekpr (Ni) 

(5) KDC—>B: Exsxk (IDa |‖ Kpa) | Expa (Ersk CN' || Ks || IDs)) 

(6) B>A: Ekra (Erxsk (Ni || Ks || IDs) || N;,) 

(7) A—B: Exs(N,) 

其 中 ,Kpx 和 Ksx 分 别 是 KDC 的 公 钥 和 私 钥 。 在 协议 刚 开始 ,A 向 KDC 发 送 一 个 要 和 
B 建立 安全 连接 的 请 求 ,KDC 将 B 的 公 钥 证 书 副本 返回 给 A,A 通过 了 的 公 钥 告诉 B 想 与 
他 通信 ,同时 将 临时 交互 值 N, 发 给 B。 然 后 ,B 向 KDC 请 求 A 的 公 钥 证 书 和 会 话 密 钥 , 由 
于 B 发 送 消息 中 包含 A 的 临时 交互 值 ,因此 KDC 可 以 用 临时 交互 值 对 会 话 密 钥 加 戳 , 其 中 
临时 交互 值 受 KDC 的 公 钥 保护 。 接 着 .KDC 将 A 的 公 钥 证 书 的 副本 和 消息 {Ni ,Ks,IDs} 
一 起 返回 给 B。 这 条 消息 说 明 ,Ks 是 KDC 为 了 产生 的 且 与 Ni 有 关 的 密 钥 。Ni 使 A 确信 
Ks 是 新 会 话 密 钥 。 用 KDC 的 私 钥 对 三 元 组 { Ni,Ks.1IDs} 加 密 , 使 得 B 可 以 验证 该 三 元 组 
确实 来 自 KDC。 由 于 是 用 B 的 公 钥 对 该 三 元 组 加 密 , 因 此 其 他 各 方 均 不 能 利用 该 三 元 组 与 
A 建立 假冒 连接 。 在 第 6 步 ,B 用 A 的 公 钥 对 Ekss (Ni Ks 1Ds) 和 B 产生 的 随机 数 N。 
加 密 后 发 送 给 A,A 先 解密 得 出 会 话 密 钥 ,然后 用 Ks 对 Ns 加 密 发 送 给 B, 这 样 可 以 使 B 
确信 A 已 经 获得 正确 的 会 话 密 钥 。 

相 比 Denning-Sacco 协议 ,这 个 协议 对 抵抗 攻击 的 能 力 更 强 ,但 也 存在 着 某 些 安全 隐 
患 。 改 进 的 方法 是 在 第 5 步 和 第 6 步 中 加 入 A 的 身份 信息 IDA ,将 会 话 密 钥 与 双方 的 身份 
信息 绑 定 在 一 起 。 将 IDs 和 Ni 绑 定 在 一 起 唯一 标识 了 A 的 连接 请 求 。 具 体 过 程 如 下 : 

(1) A-~KDC: IDA || IDs 

(2) KDC—>A: Exsx (IDs | Kea) 

(3) A—>B: Erxrs (Ni || ID,) 

(4) B>KDC: IDs || IDa | Expr CN1) 

(5) KDC—B: Exsx (IDa | Kpa) || Exva CExsk CN'1 || Ks || ID, || IDa)) 

(6) B>A: Expa (Ersa (Ni || Ks || IDa || IDs) || N2) 

(7) A—>B: Exs(N;,) 

2. 基于 公 钥 的 单 向 身份 认证 

公开 密 钥 由 于 其 自身 的 特性 , 比 对 称 密 钥 更 适合 用 于 单 向 认证 。 一 般 情况 下 ,发 送 方 需 
要 掌握 接收 方 的 公 钥 ,而 接收 方 也 需要 拥有 发 送 方 的 公 钥 ,这样 才能 对 消息 进行 加 密 , 同 时 
也 能 对 消息 的 签名 进行 解密 。 
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使 用 公 钥 进行 验证 的 步骤 相对 简洁 ,主要 有 以 下 几 种 使 用 方法 。 

(1) A 一 B: Erxrps (Ks) | Exs (M) 

(2) A 一 B: Ersa (HCM) | M 

(3) A—>B: Exrs (Ks) | Exs(M | Exrsa (HMD)) 

(4) A—>B: Ekrs (Ks) | Exs (CM | Exs, (HOMD)) || Erxsca (T | IDa 1 Kpa) 

方法 (1) 主 要 适用 于 强调 机 密 性 ,不 需要 数字 签名 的 应 用 环境 。 该 方法 首先 使 用 会 话 密 
钥 Ks 对 消息 进行 加 密 ,接着 再 使 用 接收 方 B 的 公 钥 对 会 话 密 钥 进行 加 密 ,再 将 结果 发 送 给 
B。 由 于 使 用 B 的 私 钥 进行 加 密 , 因 此 只 有 了 才能 恢复 出 会 话 密 钥 Ks ,并 解密 出 消息 M。 
使 用 会 话 密 钥 Ks 对 消息 M 进行 对 称 加 密 的 原因 是 对 称 加 密 的 效率 比 非 对 称 加 密 的 效率 
高 得 多 ,因此 对 消息 M 进行 加 密 采用 会 话 密 钥 Ks 进行 加 密 , 而 不 直接 使 用 B 的 公 钥 Kps 对 
消息 进行 加 密 。 方 法 (2) 主 要 强调 的 应 用 是 使 用 数字 签名 。 首 先 使 用 哈 希 函数 对 消息 M 产 
生 散 列 值 , 然 后 使 用 A 的 私 钥 对 消息 进行 签名 ,接收 方 B 收 到 消息 后 使 用 A 的 公 钥 进行 解 
密 , 并 验证 散 列 值 即 可 知道 消息 是 否 来 自 A, 或 者 是 否 被 自 改 过 。 

方法 (1) 主 要 是 保证 消息 的 机 密 性 ,但 没有 保证 消息 的 不 可 否认 性 和 完整 性 。 方 法 (2) 
保证 了 消息 的 不 可 和 否认 性 和 完整 性 ,但 消息 是 以 明文 的 形式 传输 ,因此 内 容 容易 遭 到 窃取 。 
方法 (3) 是 对 方法 (1) 和 方法 (2) 的 综合 ,将 消息 M 和 A 的 签名 Eksa(H(M)) 放 在 一 起 使 用 
会 话 密 钥 Ks 进行 加 密 ,解决 了 方法 (1) 和 方法 (2) 各 自 的 不 足 。 

在 实际 使 用 中 , 公 钥 通常 以 数字 证 书 的 形式 发 布 ,证 书 由 证 书 权 威 机 构 (Certificate 
Authority,CA) 颁 发 ,证 书 中 包含 有 公 钥 及 有 效 期 等 数据 。 因 此 在 实际 使 用 中 ,通信 各 方 需 
要 获取 的 是 对 方 当前 尚未 过 期 的 公 钥 。Exsca (TID。 | KmA) 是 证 书 权威 机 构 对 A 的 公 钥 
的 签名 ,以 确保 Ke 是 A 当前 有 效 的 公 钥 。 


习 题 3 


一 、 选 择 题 
1. 身份 认证 是 安全 服务 中 的 重要 一 环 ,以 下 关于 身份 认证 的 叙述 不 正确 的 是 ( )。 
A. 身份 认证 是 授权 控制 的 基础 
B. 身份 认证 一 般 不 用 提供 双向 的 认证 
C. 目前 一 般 采 用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 
D. 数字 签名 机 制 是 实现 身份 认证 的 重要 机 制 
2. 数据 完整 性 可 以 防止 ( 。”)。 
A. 假冒 源 地 址 或 用 户 的 地 址 欺骗 攻击 
B. 抵赖 做 过 信息 的 递交 行为 
C. 数据 中 途 被 攻击 者 窃听 获取 
D. 数据 中 途 被 攻击 者 算 改 或 破坏 
3. 数字 签名 要 预先 使 用 单 向 Hash 函数 进行 处 理 的 原因 是 ( Ye 
A. 多 一 道 加 密 工 序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
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4. 


C. 缩小 签名 密 文 的 长 度 ,加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 地 还 原 成 明文 
下 列 ( ) 运 算 MD5 没有 使 用 到 。 





A. 震 B. 逻辑 与 或 非 C. 异 或 D. 移 位 
5. 关于 安全 散 列 算法 的 描述 中 ,错误 的 是 ( Ns 
A. 它 是 一 系列 散 列 函 数 的 统称 B. SHA-1 生成 的 特征 值 长 度 为 160 位 
C. 生成 的 特征 值 通常 称 为 摘要 D. SHA-512 处 理 的 分 组 长 度 为 512 位 
二 、 填空 题 
1. MD5 和 SHA-1 产生 的 散 列 值 分 别 是 位 和 位 。 
2. 基于 哈 希 链 的 口令 认证 ,用 户 登 录 后 将 口令 表 中 的 (ID,& 一 1, Hi (PW)) 替 换 
为 。 
3. Denning-Sacco 协议 中 使 用 时 间 戳 T 的 目的 是 o 
4. 本 章 3. 5. 4 节 介 绍 的 Woo-Lam 协议 中 第 (6)、(7) 步 使 用 随机 数 N, 的 作用 
是 
5. 消息 认证 技术 中 ,MD 算法 可 以 用 于 为 消息 计算 
三 、 简 答题 
1. 弱 抗 碰撞 性 和 强 抗 碰撞 性 有 什么 区 别 ? 
2. 什么 是 消息 认证 码 ? 
3. 比较 MD5 和 SHA-1 的 抗 穷 举 攻击 能 力 和 运算 速度 。 
4. MD5 和 SHA-1 的 基本 逻辑 函数 是 什么 ? 
5. Woo-Lam 协议 一 共 7 步 , 可 以 简化 为 以 下 5 步 。 
(1) A—B: 
(2) B>KDC: 
(3) KDC—B: 
(4) B>A: 
(5) A—B: 
请 给 出 每 步 中 传输 的 信息 。 


6. 


Needham-Schroeder 协议 存在 的 一 个 致命 漏洞 是 旧 的 会 话 密 钥 仍 有 价值 ,假设 黑客 


H 通过 某 种 途径 获得 旧 的 密 钥 Ks,H 就 可 以 假装 成 A 发 起 一 次 攻击 。 请 说 明 H 是 在 协议 
的 哪 一 步 开始 发 动 攻击 的 ,详细 说 明 其 过 程 (假设 H 能 获得 协议 中 每 次 传输 的 内 容 )。 


第 4 章 计算 机 病毒 


随 着 信息 技术 和 互联 网 技术 的 迅速 发 展 ,整个 社会 对 计算 机 的 依赖 程度 也 越 来 越 大 。 
同时 ,网 络 的 普及 也 给 计算 机 病毒 前 所 未 有 的 发 展 的 机 会 。 计 算 机 病毒 已 经 成 为 当今 网 络 
安全 的 主要 威胁 之 一 ,给 网 络 信息 安全 带 来 了 严峻 的 挑战 。 在 这 种 情况 之 下 ,对 计算 机 病毒 
的 深入 了 解 和 有 效 防治 是 非常 必要 的 。 


4.1 概 述 


代码 是 指 计 算 机 可 以 运行 的 程序 ,可 以 被 执行 完成 特定 的 功能 。 然 而 , 怀 有 恶意 的 人 所 
编写 的 代码 会 对 计算 机 信息 安全 带 来 严重 的 威胁 ,影响 人 们 生活 的 各 个 方面 ,这 种 带 有 恶意 
的 破坏 程序 被 称 为 恶意 代码 。 在 维基 百科 中 ,恶意 代码 的 英文 对 照 词 是 Malware, 也 就 是 
Malicious Software 的 混成 词 。 

恶意 代码 的 定义 可 以 描述 为 : 在 未 被 授权 的 情况 下 ,以 破坏 软 硬 件 设备 .窃取 用 户 信 
息 、 扰 乱用 户 心 理 . 干 扰 用 户 正常 使 用 为 目的 而 编制 的 软件 或 代码 片段 。 这 个 定义 涵盖 的 范 
围 非 常 广泛 , 它 包 含 了 所 有 敌意 .干扰 、 破 坏 的 程序 和 源 代 码 。 根 据 这 个 定义 ,恶意 代码 可 以 
包括 计算 机 病毒 、 木 马 、 间 谍 软 件 、 恶 意 广告 .流氓 软件 、 催 辑 炸 弹 、 后 门 、 伪 尸 网 络 、 恶 意 脚 本 
等 软件 或 代码 片段 。 

计算 机 病毒 (Computer Virus) 属 于 恶意 代码 的 一 种 ,然而 ,当前 的 媒体 常常 用 计算 机 病 
毒 来 代替 恶意 代码 的 概念 ,因此 ,在 广义 上 来 讲 , 计 算 机 病毒 就 是 各 种 恶意 代码 的 统称 。 本 
节 将 给 出 计算 机 病毒 的 定义 , 简 述 计算 机 病毒 的 发 展 , 同 时 介绍 计算 机 病毒 所 带 来 的 危害 。 


4.1.1 定义 


“病毒 "一 词 来 源 于 生物 学 。 计 算 机 病毒 最 早 是 由 美国 南 加 州 大 学 的 Fred Cohen 提出 
的 。 他 在 1983 年 编写 了 一 个 小 程序 ,这 个 程序 可 以 自我 复制 ,能 在 计算 机 中 传播 。 该 程序 
对 计算 机 并 无 害处 ,能 潜伏 在 合法 的 程序 当中 ,通过 软盘 感染 到 计算 机 上 。 

Fred Cohen 博士 对 计算 机 病毒 的 定义 是 :“ 病 毒 是 一 种 靠 修改 其 他 程序 来 插入 或 进行 
自我 复制 ,从 而 感染 其 他 程序 的 一 段 程序 .” 这 一 定义 作为 标准 已 被 普遍 地 接受 。 

在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 计算 机 病毒 被 明确 定义 为 :“ 编 
制 或 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 
复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

计算 机 病毒 是 一 个 程序 ,一 段 可 执行 代码 。 就 像 生 物 病毒 一 样 , 计 算 机 病毒 有 独特 的 复 
制 能 力 , 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 。 当 感染 病毒 的 文件 被 复制 或 从 一 个 介质 
传 到 另 一 个 介质 时 ,它们 就 随 着 该 文件 一 起 被 复制 或 传送 ,并 同时 蔓延 开 来 。 
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4.1.2 计算 机 病毒 的 发 展 


计算 机 病毒 概念 的 起 源 相 当 早 。1949 年 汉 。 诺 伊 曼 在 他 的 一 次 在 伊利 诺 伊 大 学 的 题 
为 “Theory and Organization of Complicated Automata ”的 演讲 中 给 出 了 第 一 份 关于 计算 
机 病毒 理论 的 论述 (病毒 ”一 词 当 时 并 未 使 用 ), 后 以 “Theory of self-reproducing 
automata” 为 题目 出 版 。 汉 。 诺 依 曼 在 他 的 论文 中 描述 一 个 计算 机 程序 如 何 进行 自我 复制 ， 
即 它 是 一 种 “能 够 自我 复制 的 自动 机 ”, 但 在 当时 并 未 引起 人 们 足够 的 重视 。 

在 冯 。 诺 伊 曼 病毒 程序 锥 形 的 概念 提出 后 , 绝 大 部 分 的 电脑 专家 都 无 法 想象 这 种 会 自 
我 复制 的 程序 是 可 能 的 ,只 是 少数 几 位 科学 家 默默 地 研究 着 这 个 问题 。 直 到 10 年 之 后 ,在 
美国 电话 电报 公司 (AT&T) 的 贝尔 (Bell) 实 验 室 中 ,这 些 概 念 在 一 种 很 奇怪 的 电子 游戏 中 
成 型 了 ,这 种 电子 游戏 称 为 " 磁 芯 大 战 ?。 磁 芯 大 战 玩 法 是 : 双方 各 写 一 套 程序 并 将 程序 输 
入 到 同一 部 电脑 中 ,这 两 套 程序 在 电脑 系统 内 互相 追 杀 ,有 时 它们 会 放下 一 些 关 卡 甚至 会 停 
下 来 修复 (重新 写 ) 被 对 方 破坏 的 几 行 指令 。 当 它 被 困 时 ,也 可 以 把 自己 复制 一 次 从 而 逃离 
险 境 ,因为 它们 都 在 电脑 的 记忆 磁 世 中游 走 , 所 以 得 到 了 “ 磁 世 大战" 之 名 。 

1983 年 11 月 , 弗 雷 德 . 科恩 (Fred Cohen) 博 士 研制 出 一 种 在 运行 过 程 中 可 以 自我 复 
制 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 (Len Adleman) 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 
(Computer Viruses) ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 
VAX11/750 计算 机 系统 上 成 功 运行 该 程序 。 这 样 ,第 一 个 病毒 实验 成 功 。 人 们 第 一 次 真正 
意识 到 计算 机 病毒 的 存在 。 

1986 年 初 ,巴基斯坦 的 巴 锡 特 (Basit) 和 阿 姆 杰 德 (Amjad) 两 兄弟 经 营 着 一 家 IBM-PC 
及 其 兼容 机 的 小 商店 。 他 们 编写 的 Pakistan 病毒 ( 即 Brain) 在 一 年 内 流传 到 了 世界 各 地 。 

1988 年 冬天 ,正在 康 奈 尔 大 学 攻读 的 莫 里 斯 ,把 一 个 称 为 “蠕虫 ”的 电脑 病毒 送 进 了 美 
国 最 大 的 电脑 网 络 一 一 因特网 。1988 年 11 月 2 日 下 午 5 时 ,因特网 的 管理 人 员 首 次 发 现 
网 络 有 不 明和 人 侵 者 。 当 晚 , 从 美国 东海 岸 到 西海 岸 ,因特网 用 户 陷 人 一 片 恐 慌 。 

1989 年 引导 性 病毒 大 量 出 现 , 并 发 展 成 为 可 以 感染 硬盘 的 计算 机 病毒 。 全 世界 的 计算 
机 病毒 攻击 十 分 猩 儿 ,其 中 * 米 开朗 基 罗 ”病毒 给 许多 计算 机 用 户 造成 极 大 损失 。 这 种 病毒 
比较 著名 的 原因 ,除了 它 拥 有 一 代 艺 术 大 师 米 开朗 基 罗 的 名 字 之 外 ,更 重要 的 是 它 具 有 非常 
强大 的 杀伤 力 。 

1990 年 ,发 展 成 为 复合 型 病毒 ,可 以 感染 COM 和 EXE 文 件 。 

1992 年 ,利用 DOS 加 载 文件 的 优先 顺序 进行 工作 ,具有 代表 性 的 是 “ 金 蝉 ?病毒 。 

1995 年 , 当 生 成 器 的 生成 结果 为 病毒 时 ,就 产生 了 这 种 复杂 的 “病毒 生成 器 ,幽灵 病毒 
开始 在 中 国 流行 。 典 型 的 病毒 代表 是 “病毒 制造 机 ”和 “VCL”。 

1996 年 首次 出 现 针对 微软 公司 Office 的 “ 宏 病 毒 *。 宏 病毒 的 出 现 使 病毒 编制 工作 不 
再 局 限于 星 涩 难 懂 的 汇编 语言 ,因此 越 来 越 多 的 病毒 出 现 了 。 

1997 年 被 公认 为 计算 机 反 病 毒 界 的 “ 宏 病毒 ”年 。 宏 病毒 主要 感染 Word、Excel 等 文 
件 。 例 如 ,Word 宏 病 毒 ,早期 使 用 一 种 专门 的 Basic 语言 , 即 Word-Basic 所 编写 的 程序 ,后 
来 使 用 Visual Basic 编写 的 程序 。 与 其 他 计算 机 病毒 一 样 , 它 能 对 用 户 系统 中 的 可 执行 文 
件 和 数据 文本 类 文件 造成 破坏 。 常见 的 宏 病 毒 有 Taiwan No. 1( 台 湾 一 号 )、Setmd、 
Consept 和 Mdma 等 。 
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1998 年 出 现 针 对 Windows 95/98 系统 的 病毒 ,如 CIH 病毒 (1999 年 被 公认 为 计算 机 反 
病毒 界 的 CIH 病毒 年 )。CIH 病毒 是 继 DOS 病毒 、Windows 病毒 、 宏 病毒 后 的 第 四 类 新 型 
病毒 。 它 主要 感染 Windows 95/98 的 可 执行 程序 ,破坏 计算 机 Flash BIOS 芯片 中 的 系统 
程序 ,导致 主板 损坏 ,同时 破坏 硬盘 中 的 数据 。 当 病毒 发 作 时 ,硬盘 驱动 器 不 停 地 旋转 ,硬盘 
上 所 有 的 数据 (包括 分 区 表 ) 被 破坏 ,只 有 对 硬盘 重新 分 区 才 有 可 能 挽救 硬盘 。 

2001 年 7 月 中 旬 ,一 种 名 为 “红色 代码 ”的 病毒 在 美国 大 面积 蔓延 ,这 个 专门 攻击 服务 
器 的 病毒 攻击 了 白宫 网 站 ,造成 了 全 世界 的 恐慌 。 

2003 年 “2003 蠕虫 王 ? 病 毒 在 亚洲 美洲、 澳大利亚 等 地 迅速 传播 ,造成 了 全 球 性 的 网 
络 灾害 。 

2004 年 是 “蠕虫 ”泛滥 的 一 年 ,根据 中 国 计 算 机 病毒 应 急 中 心 的 调查 显示 ,2004 年 十 大 
流行 病毒 都 是 蠕虫 病毒 。 

2005 年 是 特洛伊 木马 流行 的 一 年 。 在 经 历 了 操作 系统 漏洞 升级 .杀毒 软件 技术 改进 
后 ,蠕虫 的 防范 效果 已 经 大 大 提高 ,真正 有 破坏 作用 的 蠕虫 已 经 基本 销声匿迹 。 然 而 病毒 制 
造 者 永远 不 甘 寂 寞 ,他 们 又 开辟 了 新 的 高 地 一 一 特洛伊 木马 。2005 年 的 木马 既 包 括 安全 领 
域 耳 熟 能 详 的 经 典 木马 (如 冰河 、 灰 蚤 子 、.BO2K 等 ) ,也 包括 很 多 新 鲜 的 木马 。 

2006 年 11 月 ,计算 机 病毒 累计 感染 了 中 国 80% 的 用 户 , 其 中 78% 以 上 的 病毒 是 木马 、 
后 门 病毒 。 熊 猫 烧香 病毒 也 在 这 一 年 出 现 并 肆虐 ,该 病毒 是 一 种 经 过 多 种 变种 的 蠕虫 病毒 ， 
它 主要 通过 下 载 的 文档 感染 。 对 计算 机 程序 、 系 统 均 可 产生 严重 的 破坏 。 同 年 “U 盘 寄 生 
虫 ” 青 出 新 变种 (Trojan. KillAV. er) ,该 病毒 会 关闭 大 部 分 杀毒 软件 进程 ,降低 系统 安全 性 ， 
同时 还 会 窃取 用 户 的 私密 信息 ,给 用 户 带 来 严重 的 经 济 损失 。 

2009 年 ,“ 死 牛 ” 病 毒 作为 病毒 “大 水 牛 ” 最 新 变种 ,不仅 会 下 载 热门 网 游 盗 号 木马 ,试图 
瓷 取 用 户 网 游 账 号 密码 ,还 会 下 载 ARP 病毒 攻击 局 域 网 ,危害 极 大 。 

2010 年 ,金山 安全 实验 室 捕获 一 种 被 命名 为 “ 鬼 影 * 的 计算 机 病毒 ,由 于 该 病毒 成 功 运 
行 后 ,在 进程 中 、 系 统 启 动 加 载 项 里 找 不 到 任何 异常 ,同时 即使 格式 化 重 装 系 统 ,也 无 法 彻底 
清除 该 病毒 。 犹 如 * 鬼 影 ” 一 般 “ 阴 魂 不 散 ”, 所 以 称 为 “ 鬼 影 "病毒 。 该 病毒 也 因此 成 为 国内 
首 个 “引导 区 ”下 载 者 病毒 。 

2012 年 5 月 ,俄罗斯 专家 发 现 了 “火焰 "病毒 ,全 名 为 Worm. Win32. Flame, 它 是 一 种 后 
门 程序 和 木马 病毒 ,同时 又 具有 蠕虫 病毒 的 特点 。 只 要 控制 者 发 出 指令 , 它 就 能 在 网 络 和 移 
动 设备 中 进行 自我 复制 。 一 旦 计算 机 系统 被 感染 ,病毒 将 开始 一 系列 复杂 行动 ,包括 监测 网 
络 流量 、 获 取 截 屏 面 面 、 记 录音 频 对 话 和 截获 键盘 输入 等 。 被 感染 系统 中 所 有 的 数据 都 能 通 
过 连接 传 到 病毒 指定 的 服务 器 。“ 火 焰 " 病 毒 是 迄今 为 止 代码 最 多 的 计算 机 病毒 程序 。 

随 着 信息 技术 和 互联 网 技术 的 发 展 ,计算 机 病毒 呈现 一 个 结构 越 来 越 复杂 、 隐 项 性 强 、 
打击 目标 明确 等 发 展 趋势 。 


4.1.3 计算 机 病毒 的 危害 


在 计算 机 病毒 出 现 的 初期 , 提 到 计算 机 病毒 的 危害 ,往往 注重 于 计算 机 病毒 对 信息 系统 
的 直接 破坏 作用 ,如 格式 化 硬盘 、 删 除数 据 文件 等 ,并 以 此 来 区 分 良性 病毒 和 恶性 病毒 。 其 
实 这 些 只 是 计算 机 病毒 危害 的 一 部 分 。 计 算 机 病毒 的 危害 主要 表现 在 以 下 几 个 方面 。 

1. 占用 磁盘 空间 ,直接 破坏 计算 机 数据 信息 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 一 般 是 由 病毒 本 身 占 
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据 磁 盘 引 导 扇 区 ,而 把 原来 的 引导 区 的 内 容 转移 到 其 他 扇 区 ,被 覆盖 的 扇 区 数据 将 丢失 ,无 
法 恢复 。 文 件 型 病毒 利用 操作 系统 某 些 功能 来 检测 出 磁盘 中 的 未 用 空间 ,把 病毒 的 传染 部 
分 写 到 磁盘 的 未 用 部 位 。 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数据 ,但 非法 侵占 了 
磁盘 空间 。 有 些 文件 型 病毒 传染 速度 很 快 ,在 短 时间 内 感染 大 量 文件 ,每 个 文件 都 不 同 程度 
地 加 长 了 ,造成 磁盘 空间 的 严重 浪费 。 大 部 分 病毒 在 激发 的 时 候 直接 破坏 计算 机 中 的 重要 
数据 ,所 利用 的 手段 有 格式 化 磁盘 改写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 ,或 者 用 无 意义 
的 垃圾 数据 改写 文件 .破坏 CMOS 设置 等 。 

2. 抢占 系统 资源 ,干扰 系统 的 正常 运行 


大 多 数 病毒 在 活动 状态 下 都 是 驻 留 内 存 的 ,这 就 必然 抢占 部 分 系统 资源 。 病 毒 抢占 内 
存 , 导 致 内 存 减少 ,一 部 分 软件 不 能 运行 。 

病毒 不 仅 占用 内 存 ,同时 也 占用 CPU 资源 。 病 毒 为 了 判断 传染 激发 条 件 ,总 要 对 计算 
机 的 工作 状态 进行 监视 。 有 些 病毒 不 仅 对 磁盘 上 的 病毒 加 密 ,而 且 进 驻 内 存 后 的 病毒 也 进 
行 加 密 , 当 CPU 每 次 寻 址 到 病毒 处 时 ,都 要 运行 解密 程序 把 病毒 解密 成 合法 的 CPU 指令 
后 再 执行 ,运行 结束 时 同样 需要 运行 加 密 程序 对 病毒 重新 加 密 。 这 样 CPU 将 额外 执行 数 
干 条 甚至 上 万 条 指令 ，。 

3. 计算 机 病毒 错误 与 不 可 预见 的 危害 

计算 机 病毒 与 其 他 软件 的 一 个 大 的 差别 是 计算 机 病毒 的 无 责任 性 。 编 制 一 个 完善 的 计 
算 机 软件 需要 耗费 大 量 的 人 力 ,物力 ,经 过 长 时 间 的 调试 和 完善 ,软件 才能 推出 。 而 在 计算 
机 病毒 编制 者 看 来 既 没 必要 这 样 做 ,也 不 可 能 这 样 做 ,因此 很 多 计算 机 病毒 都 是 个 别人 在 一 
台 计 算 机 上 匆匆 编制 调试 后 就 向 外 抛 出 。 反 病毒 专家 在 分 析 大 量 病毒 后 ,发 现 绝 大 多 数 病 
毒 都 存在 不 同 程度 的 错误 。 有 些 初学 者 尚 不 具备 独立 编制 软件 的 能 力 , 出 于 好 奇 或 其 他 原 
因 , 修 改 别人 的 病毒 ,造成 错误 。 计 算 机 病毒 错误 所 产生 的 后 果 往 往 是 不 可 预见 的 。 另 外 ， 
计算 机 病毒 在 编制 的 过 程 中 很 少 考虑 兼容 性 的 问题 ,因此 感染 计算 机 病毒 的 计算 机 常常 会 
因为 兼容 性 的 错误 导致 系统 死机 。 

4. 计算 机 病毒 给 用 户 造成 严重 的 心理 压力 

由 于 计算 机 病毒 模 行 的 案例 不 计 其 数 ,使 得 许多 用 户 在 当 自己 的 计算 机 运行 出 现 异 党 
情况 ,如 死机 ,软件 运行 速度 慢 、 开 机 速度 慢 等 现象 时 ,大 多 数 用 户 的 第 一 反应 就 是 怀疑 自己 
的 计算 机 感染 病毒 。 的 确 这 些 现象 很 有 可 能 是 计算 机 病毒 造成 的 ,但 是 也 有 可 能 是 其 他 原 
因 造成 的 。 出 于 对 病毒 的 恺 惧 ,许多 用 户 往往 会 采取 措施 来 “杀毒 ”这 就 需要 付出 时 间 、 金 
钱 等 方面 的 代价 。 某 些 用 户 仅仅 怀疑 感染 病毒 而 采取 格式 化 磁盘 的 方式 所 带 来 的 损失 更 是 难 
以 弥补 。 另 外 ,在 一 些 大 型 网 络 系统 中 也 难免 为 检测 病毒 而 停机 。 总 之 计算 机 病毒 给 人 们 千 
成 巨大 的 心理 压力 , 极 大 地 影响 了 现代 计算 机 的 使 用 效率 ,由 此 带 来 的 无 形 损失 是 难以 估 
量 的 。 





4.2 计算 机 病毒 的 特征 及 分 类 


4.2.1 计算 机 病毒 的 特征 
计算 机 病毒 通常 具有 以 下 几 个 明显 的 特征 。 
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1. 传染 性 

传染 性 是 病毒 的 基本 特征 ,是 判断 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 的 特征 。 病 毒 
能 通过 自我 复制 来 传染 正常 文件 ,达到 破坏 计算 机 正常 运行 的 目的 。 但 它 的 传染 是 有 条 件 
的 ,也 就 是 病毒 程序 必须 被 执行 之 后 才 具 有 传染 性 ,才能 传染 其 他 文件 。 病 毒 一 旦 进入 计算 
机 系统 ,就 会 开始 寻找 机 会 感染 其 他 文件 。 

计算 机 病毒 的 主要 传播 渠道 有 硬盘 、 光 盘 、 可 移动 存储 器 网页、 电子 邮件 和 FTP 下 
载 等 。 

2. 破坏 性 

任何 计算 机 病毒 感染 了 系统 后 ,都 会 对 系统 产生 不 同 程度 的 影响 。 病 毒 都 是 可 执行 程 
序 或 代码 , 当 病 毒 代码 运行 时 就 会 降低 系统 的 工作 效率 ,占用 系统 资源 。 病 毒 发 作 时 的 破坏 
程度 取决 于 病毒 设计 者 。 轻 则 占用 系统 资源 ,影响 计算 机 运行 速度 ,降低 计算 机 工作 效率 ， 
使 用 户 不 能 正常 使 用 计算 机 ; 重 则 毁坏 系统 ,破坏 用 户 计算 机 中 的 数据 并 使 之 无 法 恢复 , 甚 
至 破坏 计算 机 硬件 ,给 用 户 带 来 巨大 的 损失 。 

3. 隐蔽 性 

计算 机 病毒 具有 很 强 的 隐蔽 性 , 它 一 般 都 是 具有 很 高 编程 技巧 的 ,短小 精 悍 的 代码 , 通 
常 附 在 正常 的 程序 之 中 或 藏 在 磁盘 隐秘 的 地 方 。 没 有 经 过 代码 分 析 是 很 难 将 病毒 程序 和 正 
常 程序 区 分 开 的 。 有 些 病毒 采用 了 极其 高 明 的 手段 来 隐藏 自己 ,如 使 用 隐藏 文件 .注册 表 内 
的 相似 字符 等 ,而 且 有 的 病毒 在 感染 了 系统 之 后 ,计算 机 系统 仍 能 正常 工作 ,用 户 不 会 感到 
有 任何 异常 ,普通 用 户 无 法 在 正常 的 情况 下 发 现 病毒 。 

4. 寄生 性 

一 般 情况 下 ,计算 机 病毒 都 不 会 独立 存在 ,而 是 寄生 于 其 他 程序 中 , 当 执 行 这 个 程序 时 ， 
病毒 代码 就 会 被 执行 。 病 毒 寄生 在 其 他 程序 中 的 同时 ,也 进行 感染 扩散 ,病毒 潜伏 寄生 的 时 
间 越 长 ,感染 的 范围 也 就 越 大 ,对 用 户 造 成 的 影响 也 就 越 大 。 在 未 满足 触发 条 件 或 正常 程序 
未 启动 之 前 ,用 户 是 不 易 发 觉 病毒 的 存在 的 。 

5. 可 触发 性 

大 部 分 病毒 感染 系统 之 后 一 般 不 会 马上 发 作 , 而 是 隐藏 在 系统 中 ,就 像 定 时 炸弹 一 样 ， 
只 有 在 满足 特定 条 件 时 才 被 触发 。 潜 伏 机 制 是 计算 机 病毒 内 部 的 一 种 机 制 ,在 不 满足 触发 
条 件 时 ,病毒 只 会 感染 而 不 做 破坏 ,只 有 在 触发 条 件 满足 的 情况 下 才 会 表现 出 来 。 例 如 ， 
黑色 星期 五 病毒 ,不 到 预定 时 间 , 用 户 就 不 会 觉察 出 异常 。 一 旦 遇 到 13 日 并 且 是 星期 
五 ,病毒 就 会 被 激活 并 且 对 系统 进行 破坏 。 当 然 , 还 有 著名 的 CIH 病毒 , 它 是 在 每 月 的 
26 日 发 作 。 


4.2.2 计算 机 病毒 的 分 类 

目前 全 球 大 约 有 几 十 万 种 病毒 ,根据 各 种 计算 机 病毒 的 特点 ,计算 机 病毒 有 不 同 的 分 类 
方法 。 按 照 不 同 的 体系 可 对 计算 机 病毒 进行 以 下 分 类 。 

1. 按 病 毒 寄生 方式 分 类 

根据 病毒 的 寄生 方式 ,病毒 可 以 划分 为 网 络 病毒 .文件 病毒 .引导 型 病毒 和 混合 型 病毒 。 
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(1) 网 络 病毒 : 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 。 

(2) 文件 病毒 : 感染 计算 机 中 的 文件 (如 DOS 下 的 COM、EXE 和 Windows 的 PE 文 
件 等 )。 

(3) 引导 型 病毒 : 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR) 。 

(4) 混合 型 病毒 : 是 上 述 3 种 情况 的 混合 。 例 如 ,多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 
引导 扇 区 两 种 目标 ,这样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵 人 系统 ， 
同时 使 用 了 加 密 和 变形 算法 。 

2. 按 传播 媒介 分 类 

(1) 单机 病毒 : 单机 病毒 的 载体 是 磁盘 或 光盘 。 常 见 的 传播 途径 是 通过 磁盘 或 光盘 传 
入 硬盘 ,感染 系统 后 , 青 传 染 给 其 他 磁盘 或 光盘 ,然后 又 感染 给 其 他 系统 。 

(2) 网 络 病毒 : 网 络 为 病毒 提供 了 很 好 的 传播 途径 。 通 过 网 络 传播 的 病毒 传染 能 力 
强 , 破 坏 力 大 ,主要 利用 网 络 协议 或 命令 进行 传播 。 

3. 按 病毒 破坏 性 分 类 

根据 病毒 破坏 的 能 力 , 计 算 机 病毒 可 划分 为 良性 病毒 和 恶性 病毒 。 

(1) 良性 病毒 是 不 包含 对 计算 机 系统 产生 直接 破坏 作用 代码 的 计算 机 病毒 。 这 类 病毒 
为 了 表现 其 存在 ,只 是 不 停 地 进行 传播 ,并 不 破坏 计算 机 内 的 数据 。 但 它 会 使 系统 资源 急剧 
减少 ,可 用 空间 越 来 越 少 ,最 终 导 致 系统 崩溃 。 良 性 病毒 又 可 分 为 无 危害 病毒 和 无 危险 病 
毒 。 无 危害 病毒 是 指 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 ; 无 危险 病 
毒 是 指 在 传播 过 程 中 不 仅 减少 内 存 和 硬盘 空间 ,还 伴随 显示 图 像 ,发 出 声音 等 。 

(2) 恶性 病毒 是 指 代 码 中 包含 有 损伤 和 破坏 计算 机 系统 的 操作 ,在 其 传染 激发 时 会 对 
系统 产生 直接 破坏 作用 的 计算 机 病毒 。 例 如 ,破坏 磁盘 扇 区 .格式 化 磁盘 导致 数据 丢失 等 。 
这 些 代码 都 是 刻意 写 进 病 毒 的 ,是 其 本 性 之 一 。 恶 性 病毒 可 分 为 危险 型 病毒 和 非常 危险 
病毒 。 和 危险 型 病毒 是 指 破坏 和 干扰 计算 机 系统 的 操作 ,从 而 造成 严重 的 错误 ; 非常 危险 型 
病毒 主要 是 删除 程序 \ 破 坏 数 据 、 清 除 系统 内 存 和 操作 系统 中 重要 的 信息 。 

4. 按 计算 机 病毒 的 链接 方式 分 类 

由 于 计算 机 病毒 本 身 必 须 有 一 个 攻击 对 象 才能 实现 对 计算 机 系统 的 攻击 ,并且 计算 机 
病毒 所 攻击 的 对 象 是 计算 机 系统 可 执行 的 部 分 。 因 此 ,根据 链接 方式 计算 机 病毒 可 分 为 源 
码 型 病毒 .嵌入 型 病毒 .外 壳 型 病毒 . 译 码 型 病毒 .操作 系统 型 病毒 。 

(1) 源码 型 病毒 : 该 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 前 
插入 到 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

(2) 嵌入 型 病毒 : 这 种 病毒 是 将 自身 嵌入 到 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 
其 攻击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 
难 消除 。 如 果 同 时 采用 多 态 性 病毒 技术 、 超 级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 的 反 病 
毒 技术 带 来 严峻 的 挑战 。 

(3) 外 壳 型 病毒 : 外 壳 型 病毒 将 其 自身 包围 在 主 程序 的 四 周 , 对 原来 的 程序 不 做 修改 。 
这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 .一般 测 试 文件 的 大 小 即 可 察觉 。 

(4) 译 码 型 病毒 : 隐藏 在 微软 Office、AmiPro 文档 中 ,如 宏 病 毒 、 脚 本 病毒 等 。 

(5) 操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 , 具 
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有 很 强 的 破坏 力 , 可 以 导致 整个 系统 的 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 
病毒 。 

这 种 病毒 在 运行 时 ,用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ,根据 病毒 自身 的 
特点 和 被 蔡 代 的 合法 程序 模块 在 操作 系统 中 运行 的 地 位 与 作用 ,以 及 病毒 取代 操作 系统 的 
取代 方式 等 ,对 操作 系统 进行 破坏 。 

5. 按 病毒 攻击 的 操作 系统 分 类 

根据 病毒 的 攻击 目标 ,计算 机 病毒 可 以 分 为 DOS 病毒 、Windows 病毒 和 其 他 系统 
病毒 。 
(1) DOS 病毒 : 是 针对 DOS 操作 系统 开发 的 病毒 。 目 前 几乎 没有 新 制作 的 DOS 病 
毒 , 由 于 Windows 病毒 的 出 现 ,DOS 病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 环境 中 仍 可 
以 进行 感染 活动 ,因此 若 执行 染 毒 文件 , Windows 用 户 的 系统 也 会 被 感染 。 通 常 使 用 杀毒 
软件 能 够 查 杀 的 病毒 中 一 半 以 上 都 属于 DOS 病毒 ,可 见 DOS 时 代 DOS 病毒 的 泛滥 程度 。 
但 这 些 众多 的 病毒 中 除了 少数 几 个 让 用 户 胆战心惊 的 病毒 之 外 ,大 部 分 病毒 都 只 是 制作 者 
出 于 好 奇 或 对 公开 代码 进行 一 定 变形 而 制作 的 病毒 。 

(2) Windows 病毒 : 主要 指针 对 Windows 操作 系统 的 病毒 。 现 在 的 计算 机 用 户 一 般 
都 安装 Windows 系统 , Windows 病毒 一 般 感 染 Windows 系统 ,其 中 最 典型 的 病毒 有 CIH 
病毒 、 宏 病毒 等 。 一 些 Windows 病毒 不 仅 在 早期 的 Windows 操作 系统 上 正常 感染 ,还 可 以 
感染 Windows NT 上 的 其 他 文件 。 

(3) 其 他 系统 病毒 : 主要 攻击 Linux .UNIX.OS2、Macintosh、 和 嵌入 式 系统 的 病毒 ,以 及 
最 近 出 现 的 IOS/Android 系统 病毒 。 由 于 系统 本 身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 ,但 
对 于 当前 的 信息 处 理 也 产生 了 严重 的 威胁 。 

6. 按 病毒 的 攻击 类 型 分 类 

按 计算 机 病毒 攻击 的 机 器 类 型 可 分 为 攻击 微型 机 的 计算 机 病毒 .攻击 小 型 机 的 计算 
机 病毒 和 攻击 工作 站 的 计算 机 病毒 。 其 中 攻击 微型 机 的 计算 机 病毒 是 最 为 庞大 的 病毒 
家 族 。 

由 于 小 型 机 的 应 用 极为 广泛 , 既 可 以 作为 网 络 中 的 一 个 节点 机 ,又 可 以 作为 小 型 计算 机 
网 络 的 主机 。 一 般 来 说 ,小 型 机 的 操作 系统 比较 复杂 ,而 且 小 型 机 都 采取 了 一 定 的 安全 保护 
措施 ,人 们 认为 计算 机 病毒 只 有 在 微型 机 上 才能 发 生 而 小 型 机 不 会 受到 侵扰 ,但 自从 1988 
年 以 来 ,蠕虫 病毒 对 Internet 的 攻击 改变 了 病毒 只 攻击 微型 机 的 传统 观念 。 








4.3 ”常见 的 病毒 类 型 


4.3.1 引导 型 与 文件 型 病毒 


1. 引导 型 病毒 
引导 型 病毒 是 指 专门 感染 磁盘 引导 扇 区 或 硬盘 主 引导 区 的 病毒 程序 ,如 果 被 感染 的 磁 
盘 作 为 系统 启动 盘 使 用 ,那么 在 系统 启动 时 ,病毒 程序 会 自动 被 带 入 内 存 ,从 而 使 运行 的 系 
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统 感染 上 病毒 ,如果 系统 已 经 感染 上 病毒 ,那么 在 对 磁盘 进行 操作 时 ,病毒 程序 会 主动 进行 
传染 ,从 而 使 其 他 磁盘 也 感染 上 病毒 。 

引导 型 病毒 是 一 种 在 ROM BIOS 装载 之 后 , 先 于 操作 系统 加 载 的 计算 机 病毒 。 它 依托 
于 BIOS 中 断 服 务 程序 ,利用 操作 系统 的 引导 模块 放 在 某 个 固定 的 位 置 ,并 且 控制 权 是 以 物 
理 位 置 为 依据 ,而 不 是 以 操作 系统 引导 区 的 内 容 为 依据 。 这 类 病毒 把 原来 的 主 引导 记录 保 
存 到 磁盘 的 其 他 扇 区 ,然后 用 病毒 程序 替代 原来 的 主 引导 记录 。 当 系统 启动 时 ,病毒 体 得 到 
控制 权 , 在 做 完了 自己 的 处 理 后 .将 控制 权 交 给 真正 的 引导 区 内 容 。 

引导 型 病毒 按 其 寄生 对 象 不 同 又 可 分 为 两 类 : MBR( 主 引导 区 ) 病 毒 和 BR( 引 导 区 ) 病 
毒 。MBR 病毒 也 称 为 分 区 病毒 ,将 病毒 寄生 在 硬盘 分 区 的 主 引导 程序 所 占据 的 硬盘 0 头 0 
柱 面 1 扇 区 中 。BR 病毒 是 将 病毒 寄生 在 磁盘 逻辑 0 扇 区 中 。 

正常 的 操作 系统 引导 过 程 是 不 减少 系统 内 存 的 。 而 引导 型 病毒 是 在 装载 操作 系统 前 进 
入 内 存 的 ,寄生 对 象 相对 固定 ,因此 ,该 类 型 病毒 必须 采用 减少 操作 系统 所 掌管 的 内 存 容 量 
的 方法 来 驻 留 内 存 高 端 。 

引导 型 病毒 一 般 是 通过 修改 int 13h 中 断 向 量 的 方式 来 将 病毒 传染 给 软盘 的 ,而 新 的 
int 13h 中 断 向 量 地 址 必定 指向 内 存 高 端的 病毒 程序 。 

引导 型 病毒 的 寄生 对 象 相 对 固定 ,把 当前 的 系统 主 引 导 区 和 引导 区 与 未 感染 计算 机 病 
毒 的 主 引导 区 和 引导 区 进行 比较 ,如 果 内 容 不 一 样 ,可 以 认定 系统 引导 区 异常 。 

2. 文件 型 病毒 

文件 型 病毒 是 一 种 数量 很 多 的 病毒 ,一 般 把 通过 操作 系统 的 文件 系统 进行 感染 的 病毒 
都 称 为 文件 型 病毒 。 常 见 到 文件 型 病毒 都 是 寄生 于 COM 文件 和 EXE 文件 的 病毒 。 

COM 文件 中 的 程序 代码 只 在 一 个 段 内 运行 ,文件 长 度 不 超过 64KB, 结 构 比 较 简 单 。 
COM 文件 型 病毒 通过 修改 COM 进行 感染 时 ,一 般 采 取 两 种 方法 : 一 种 方法 是 将 病毒 添加 
在 COM 文件 前 面 ,病毒 将 宿主 程序 全 部 往 后 移 , 而 将 自己 插 在 宿主 程序 之 前 ,这 样 病 毒 就 
自然 先 获 得 控制 权 , 病 毒 执 行 完 之 后 ,控制 权 自 动 交 给 宿主 程序 ; 另 一 种 是 附加 在 文件 尾 
部 ,然后 将 文件 的 第 一 条 指令 修改 为 跳 转 指令 , 跳 转 到 病毒 开始 位 置 ,病毒 执行 完 之 后 青 跳 
回 到 原 程序 的 开始 位 置 继续 执行 。 

EXE 文件 病毒 也 是 将 自身 代码 添加 在 宿主 程序 中 ,但 病毒 是 通过 修改 指令 指针 的 方 
式 , 指 向 病毒 起 始 位 置 来 获取 控制 权 的 ,此 外 ,病毒 一 般 还 会 修改 文件 长 度 、 校 验 和 等 信息 ， 
有 些 病毒 还 修改 文件 的 最 后 修改 时 间 。 

PE 病毒 是 当前 产生 重大 影响 的 病毒 类 型 之 一 ,如 “CIH”“ 尼 姆 达 ”“ 求 职 信 ”“ 中 国 黑客 ” 
等 ,给 广大 计算 机 用 户 带 来 了 巨大 的 损失 。 这 类 病毒 主要 以 Windows 系统 中 的 PE 文件 格 
式 的 文件 (如 EXE、SCR、DLL 等 ) 作 为 感染 目标 。 

PE 病毒 在 感染 宿主 程序 时 ,通常 被 插入 到 宿主 程序 的 代码 中 间 , 并 且 插 入 位 置 不 固 
定 。 这 样 ,对 于 计算 机 病毒 程序 中 的 一 些 变量 (常量 ) 来 说 ,如 果 还 是 按照 最 初 编译 时 的 地 址 
来 寻 址 , 必 将 导致 寻 址 不 正确 ,从 而 导致 程序 无 法 正常 运行 。 因 而 计算 机 病毒 必须 采取 重 定 
位 技术 。 

PE 文件 中 存在 诸如 代码 节 、 数 据 节 、 引 入 函数 节 、 引 出 函数 节 、 资 源 节 等 多 个 节 , 这 些 
节 通 常 在 文件 中 是 按照 200H 对 齐 的 。 这 样 ,每 个 节 中 极 可 能 存在 部 分 剩余 空间 。 

PE 病毒 主要 的 感染 方法 有 以 下 几 种 。 
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(1) 添加 新 节 。PE 病毒 常见 的 感染 其 他 文件 的 方法 是 在 文件 中 添加 一 个 新 节 , 然 后 往 
该 节 中 添加 病毒 代码 和 病毒 执行 后 返回 宿主 程序 的 代码 ,并 修改 文件 头 中 代码 开始 执行 位 
置 指向 新 添加 的 病毒 节 的 代码 和 人口 ,以 便 程序 运行 后 先 执行 病毒 代码 。 

(2) 插入 式 感 染 。PE 文件 的 代码 基本 上 都 存放 在 代码 节 中 ,病毒 同样 可 以 将 病毒 代码 
插入 到 宿主 程序 文件 的 代码 节 的 中 间或 前 后 。 这 种 感染 方式 会 增加 代码 节 的 大 小 ,并 且 可 
能 修改 宿主 程序 中 的 一 些 参数 实际 位 置 导致 宿主 程序 运行 失败 。 

(3) 碎片 式 感染 。 碎 片 式 感染 方法 是 病毒 将 自己 的 代码 分 解 成 多 个 部 分 分 别 插入 到 每 
个 节 的 剩余 空间 进行 存储 。 当 病毒 需要 执行 时 ,其 在 内 存 中 重新 组 装 在 一 起 执行 。 

(4) 伴随 式 感染 。 比 较 普遍 的 一 种 伴随 式 感染 方法 是 病毒 将 宿主 程序 备份 ,而 病毒 自 
身 则 替换 宿主 程序 , 当 病毒 执行 完毕 之 后 ,再 将 控制 权 交 给 原来 的 宿主 程序 。 


4.3.2 网 络 蠕虫 与 计算 机 木马 


1. 网 络 蠕虫 

人 们 经 常 将 计算 机 病毒 与 网 络 蠕虫 等 同 起 来 ,实际 上 ,计算 机 病毒 与 网 络 蠕虫 都 属于 恶 
意 代码 ,它们 都 会 对 计算 机 网 络 系统 带 来 危害 。 从 狭义 的 病毒 概念 来 看 ,蠕虫 不 算是 病毒 的 
一 种 。 准 确 地 说 , 它 是 一 种 通过 网 络 传播 的 恶意 代码 , 它 具 有 传染 性 、 隐 项 性 、 破 坏 性 等 病毒 
所 拥有 的 特点 。 近 年 来 , 越 来 越 多 的 病毒 采用 蠕虫 的 技术 ,同时 越 来 越 多 的 蠕虫 也 采用 部 分 
病毒 的 技术 ,导致 二 者 之 间 越 来 越 难 区 分 ,因此 目前 常 将 蠕虫 也 称 为 病毒 。 

与 文件 型 病毒 和 引导 性 病毒 不 同 ,蠕虫 不 利用 文件 寄生 ,也 不 感染 引导 区 ,蠕虫 的 感染 
目标 是 网 络 中 的 所 有 计算 机 ,因此 共享 文件 ,电子 邮件 、 恶 意 网 页 和 存在 大 量 漏洞 的 服务 器 
都 成 为 蠕虫 传播 的 途径 。 

网 络 蠕虫 的 权威 定义 是 : 一 种 无 须 用 户 干预 ,依靠 自身 复制 能 力 、 自 动 通过 网 络 进行 传 
播 的 恶意 代码 。 

根据 攻击 的 对 象 ,蠕虫 可 分 为 两 种 。 一 种 是 针对 企业 和 局 域 网 的 ,这 种 蠕虫 利用 系统 的 
漏洞 主动 攻击 ,对 整个 网 络 可 能 会 造成 灾难 性 的 影响 。 这 类 蠕虫 具有 很 大 的 攻击 性 ,而 且 爆 
发 有 一 定 的 突然 性 ,但 查 杀 起 来 并 不 是 很 难 。 另 一 种 是 针对 个 人 用 户 , 通 过 网 络 ( 电 子 邮件 
或 网 页 ) 进 行 传播 。 这 类 蠕虫 的 传播 方式 比较 复杂 多 样 ,同时 也 是 比较 难 清除 的 。 

蠕虫 的 主要 特点 有 以 下 几 点 。 

(1) 主动 攻击 。 蠕 虫 在 本 质 上 已 变 为 黑客 入 侵 的 工具 ,从 漏洞 扫描 到 攻击 系统 , 青 到 复 
制 副本 ,整个 过 程 全 部 由 蠕虫 自身 主动 完成 。 

(2) 传播 方式 多 样 。 蠕 虫 可 利用 的 传播 方式 包括 文件 .电子 邮件 、Web 服务 器 、 网 页 和 
网 络 共享 等 。 

(3) 制作 技术 不 同 于 传统 的 病毒 。 许 多 蠕虫 病毒 是 利用 当前 最 新 的 编程 诸 言 和 编程 技 
术 来 实现 的 ,容易 修改 以 产生 新 的 变种 ,从 而 躲 过 反 病 毒 软件 的 检测 。 

(4) 行踪 隐蔽 。 蠕 虫 在 传播 过 程 中 不 需要 像 传统 病毒 那样 要 用 户 的 辅助 工作 (如 执行 
文件 .打开 文件 等 ), 所 以 在 蠕虫 传播 的 过 程 中 ,用 户 基本 上 不 可 察觉 。 

(5) 反复 性 。 即 使 清除 了 蠕虫 在 系统 中 留 下 的 任何 痕迹 ,如 果 没 有 修复 系统 的 漏洞 , 重 
新 接 入 到 网 络 的 计算 机 仍然 有 被 重新 感染 的 危险 。 
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2. 计算 机 木马 

木马 全 称 是 “特洛伊 木马 ”, 实 际 上 是 一 种 典型 的 黑客 程序 , 它 是 一 种 基于 远程 控制 的 黑 
客 工具 。 特 洛 伊 木马 (Trojan Horse) 取 自 希腊 神话 中 的 特洛伊 战争 ,当时 希腊 人 对 特洛伊 
城 久 攻 不 下 ,就 假装 撤退 ,同时 留 下 了 木马 ,隐藏 在 木马 中 的 士兵 悄悄 地 进入 特洛伊 城 , 夜 间 
打开 城 门 ,使 希腊 军队 最 后 攻 下 了 特洛伊 城 。 将 黑客 程序 形容 为 特洛伊 木马 就 是 要 体现 黑 
客 程序 的 隐蔽 性 和 欺骗 性 。 

通过 木马 ,攻击 者 可 以 远程 窃取 用 户 计算 机 上 的 所 有 文件 、 查 看 系统 消息 、 窃 取 用 户口 
令 . 算 改 文件 和 数据 .接收 执行 非 授 权 者 的 指令 删除 文 件 甚至 格式 化 硬盘 ,还 可 以 将 其 他 病 
毒 传染 到 计算 机 上 ,可 以 远程 控制 计算 机 上 鼠标、 键盘, 查看 用 户 的 一 举 一 动 ,甚至 可 造成 系统 
的 崩溃 .瘫痪 。 

一 般 用 户 会 认为 自己 的 计算 机 中 没有 什么 秘密 资料 ,不 怕 木 马 , 其 实 不 然 。 首 先 , 中 了 
木马 以 后 ,计算 机 的 安全 性 没有 了 ,所 有 的 邮箱 密码 、 上 网 密码 、 网 络 银行 密码 等 信息 都 会 被 
偷 走 ; 其 次 ,鼠标 也 会 被 黑客 控制 ,键盘 的 敲 击 动 作 也 会 被 记录 下 来 ,屏幕 信息 可 能 会 被 远 
程 宇 视 ,自己 的 计算 机 可 能 就 不 是 自己 的 了 ,甚至 会 成 为 攻击 其 他 计算 机 的 工具 。 

到 目前 为 止 ,比较 著名 的 木马 程序 有 BackOrifice(BO)、Netspy( 网 络 精灵 )、Glacier( 冰 
河 )\ 广 外 女生 、 灰 鸽子 等 。 这 些 木马 程序 大 多 可 以 从 网 上 下 载 直接 使 用 。 

木马 系统 程序 一 般 由 两 部 分 组 成 : 一 个 是 服务 器 端 程序 ; 另 一 个 是 客户 机 程序 。 如 果 

台 计算 机 中 安装 了 黑客 服务 器 端 程序 ,那么 黑客 就 可 以 利用 自己 的 客户 机 程序 进入 这 台 
计算 机 中 ,通过 客户 机 程序 达到 控制 和 监视 这 台 计 算 机 的 目的 。 以 冰河 程序 为 例 , 被 控制 端 
可 视 为 一 台 服 务 器 ,而 控制 端 则 是 一 台 客 户 机 ,服务 器 端 安装 了 G_Server. exe 服务 程序 , 客 
户 机 安装 了 G_Client. exe 控制 程序 ,如 果 有 客户 机 向 服务 器 端的 端口 提出 连接 请 求 , 服 务 
器 端的 相应 程序 就 会 自动 运行 ,响应 客户 机 的 请 求 。 

木马 本 质 上 只 是 一 个 网 络 客 户 机 /服务 器 程序 (Client/Server)。 在 Visual Basic 中 ,可 
以 使 用 WinSock 控件 来 编写 客户 机 /服务 器 程序 ,实现 方法 如 下 。 


服务 器 端 : 

G_Server. LocalPort = 7626 "冰河 的 默认 端口 ,可 以 更 改 
G_Server. Listen ' 等 待 连接 

客户 机 : 

G_Client. RemoteHost = ServerIP ““' 设 远 端 地址 为 服务 器 地 址 
G_Client. RomotePort = 7626 ' 设 远 端 端口 为 冰河 的 默认 端口 
G_Client. Connect ' 调 用 Winsock 控件 连接 


其 中 G_Server 和 G_Client 均 为 WinSock 控件 。 一 旦 服务 器 端 接 到 客户 机 的 连接 请 
Private Sub G_Server connection Request 
G_Server. Accept requested 
End Sub 
客户 机 用 G_Client. SendData 发 送 命令 ,而 服务 器 端 在 G_Server DataArrive 事件 中 接 
受 并 执行 命令 (几乎 所 有 的 木马 功能 都 在 这 个 时 间 处 理 程序 中 实现 )。 如 果 客 户 断 开 连 接 ， 
则 关闭 连接 并 重新 监听 端口 。 
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了 Private Sub G Server Close() 

G_Server. Close "关闭 连接 
G_Server.Listen ' 再 次 监听 

End Sub 

其 他 部 分 可 以 用 命令 传递 来 进行 ,客户 机 上 传 一 个 命令 ,服务 器 端 解释 并 执行 。 

一 般 木马 的 传播 方式 有 以 下 几 种 。 

(1) 以 邮件 附件 的 形式 传播 。 控 制 端 将 木马 程序 伪装 后 ,如 用 . exe 文件 绑 定 ,将 木马 搁 
绑 在 小 游戏 上 ,或 者 将 木马 程序 的 图 标 直 接 修改 为 html、txt、jpg 等 文件 的 图 标 , 然 后 将 该 
木马 程序 添加 到 附件 中 ,再 发 送 给 收 件 人 。 

(2) 通过 聊天 软件 的 文件 发 送 功能 。 在 和 对 方 聊天 对 话 的 过 程 中 ,利用 文件 传送 功能 
发 送 伪装 后 的 木马 程序 给 对 方 。 

(3) 通过 软件 下 载 网 站 传播 。 有 些 网 站 可 能 会 被 攻击 者 利用 ,将 木马 拥 绑 在 软件 上 ,用 
户 下 载 软件 后 如 果 没 有 进行 安全 检查 就 进行 安装 ,木马 就 会 驻 留 内 存 。 

(4) 通过 病毒 和 蠕虫 传播 。 某 些 病毒 和 蠕虫 本 身 就 具备 木马 的 功能 ,或 者 可 能 成 为 森 
马 的 宿主 而 传播 木马 。 

(5) 通过 带 木马 的 磁盘 和 光盘 传播 。 带 有 木马 的 磁盘 和 光盘 也 是 木马 传播 的 途径 之 一 。 

受害 主机 在 执行 木马 程序 或 携带 木马 程序 后 ,木马 就 会 进行 安装 。 一 般 将 自己 复制 到 
系统 目录 下 ,并 将 名 称 伪装 成 类 似 常 用 程序 的 名 称 ,然后 在 注册 表 ,ini 文件 或 启动 文件 设置 
自 启动 触发 条 件 。 普 通 木 马 设置 成 开机 自动 加 载 的 方式 , 拥 绑 文 件 木 马 会 在 常用 程序 运行 
时 载 和 人 内存 。 

在 受害 主机 成 功 实施 安装 后 的 木马 必须 与 木马 的 控制 端 进行 第 一 次 握手 。 控 制 端 在 将 
服务 器 端木 马 程序 植 人 受害 者 的 主机 后 ,一旦 受害 者 主机 登录 上 网 络 , 其 IP 地 址 就 会 通过 
某 种 方式 发 送 给 控制 端 ,或 者 控制 端 自动 扫描 受害 者 主机 。 

当 木 马 与 控制 端 实现 第 一 次 握手 后 ,控制 端 给 木马 传送 木马 通道 的 配置 参数 。 木 马 成 
功 配置 后 ,返回 木马 通道 的 响应 参数 。 配 置 参数 主要 包括 木马 通道 的 通信 协议 和 端口 \ 木 马 
通道 中 加 密 用 的 密 钥 参 数 .通信 的 数据 格式 和 木马 数据 通道 的 时 间 参 数 。 

木马 如 果 使 用 固定 端口 容易 被 杀毒 软件 或 木马 清除 软件 所 识别 ,因此 好 的 木马 一 般 提 
供 端口 定制 的 功能 ,控制 方 可 以 为 服务 器 配置 1024 一 65 535 的 任意 一 个 端口 。 一 般 情 况 
下 ,木马 使 用 固定 端口 建立 通道 后 ,通过 配置 命令 完成 新 通道 的 建立 。 木 马 通道 建立 后 , 客 
户 机 可 以 通过 木马 通道 给 木马 发 送 控制 命令 。 同 理 , 木 马 利 用 木马 通道 将 客户 机 所 需要 的 
数据 发 送 回来 。 


4.3.3 其 他 病毒 介绍 


1. 宏 病毒 

宏 是 被 存储 在 Visual Basic 模块 中 的 一 系列 命令 和 函数 。 在 需要 执行 宏 时 , 宏 可 以 立 
刻 被 执行 ,简单 地 说 , 宏 就 是 一 组 动作 的 组 合 。 宏 病毒 是 使 用 宏 语 言 编写 的 程序 , 宏 语 言 最 
初 开发 的 目的 是 为 了 帮助 用 户 将 一 定 顺序 的 操作 录制 并 重 放 , 使 用 户 从 大 量 的 重复 性 操作 
中 解脱 出 来 。 使 用 宏 编 写 的 程序 可 以 在 一 些 数据 处 理 系 统 中 运行 。 宏 病毒 利用 宏 语 言 的 特 
点 ,将 自己 复制 并 且 繁 殖 到 其 他 数据 文档 中 。 
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宏 语 言 作为 一 种 编程 语言 ,存在 一 些 弱点 。 首 先 , 宏 语言 不 能 脱离 母 程序 运行 。 其 次 ， 
宏 语言 是 解释 型 的 ,不 是 编译 型 的 。 每 个 宏 命 令 要 在 其 运行 时 由 入 到 相应 的 位 置 ,这 种 解释 
非常 耗费 时 间 。Office 新 的 宏 语 言 实 际 上 是 部 分 编译 成 中 间 代 码 ,但 是 此 代码 仍然 需要 解 
释 执 行 。 

与 普通 病毒 不 同 , 宏 病毒 不 感染 EXE 文件 和 COM 文件 ,也 不 需要 通过 引导 区 传播 , 它 
只 感染 文档 文件 。 制 作 宏 病毒 并 不 难 , 只 需要 懂得 一 种 宏 语 言 , 并 且 可 以 用 它 来 操纵 自己 和 
其 他 文件 ,保证 能 够 按照 预先 定义 好 的 事情 执行 即 可 。 这 导致 了 宏 病 毒 传播 极 快 、 制 作 方 
便 、 变 种 多 等 特点 ,使 得 宏 病 毒 成 为 病毒 家 族 中 数量 最 多 的 一 类 ,任何 对 于 一 种 宏 语 言 有 一 
定 了 解 的 人 编写 一 个 简单 的 宏 病 毒 可 能 只 需要 几 分 钟 的 时 间 。 

宏 病 毒 获取 系统 控制 权 的 方法 比较 特别 , 它 利用 一 些 数据 处 理 系统 内 置 宏 命 令 编程 语 
言 的 特性 ,把 特定 的 宏 命令 代码 附加 在 指定 的 文件 上 ,通过 文件 的 打开 或 关闭 来 获取 系统 的 
控制 权 , 同 时 实现 宏 命 令 在 不 同文 件 之 间 的 共享 和 传递 ,以 实现 传染 。 

宏 病 毒 只 能 在 一 个 又 一 个 文档 文件 中 传递 ,离开 了 相应 的 环境 就 不 能 存活 。 入 侵 的 第 
一 步 就 是 用 自己 蔡 代 原 有 的 正常 宏 。 宏 病毒 关心 的 是 内 置 软件 中 的 宏 ,它们 随 软件 一 起 安 
装 , 很 多 功能 都 是 在 底层 调用 的 ,如 文件 读 写 、 磁 盘 操 作 等 ,只 要 能 获取 它们 的 文件 操作 功能 
即 可 获得 对 文件 的 控制 。 同 时 ,还 可 以 通过 对 系统 的 控制 ,实现 各 种 典型 的 病毒 操作 ,如 感 
染 、 破 坏 等 。 

2. 网 页 病毒 

网 页 病毒 是 利用 网 页 来 进行 破坏 的 病毒 , 它 使 用 一 些 SCRIPT 请 言 编 写 的 一 些 恶意 代 
码 , 利 用 浏览 器 的 漏洞 来 实现 病毒 植 入 。 当 用 户 登录 某 些 含有 网 页 病毒 的 网 站 时 ,网 页 病毒 
便 被 悄悄 激活 ,这 些 病毒 一 旦 激活 ,可 以 利用 系统 的 一 些 资 源 进行 破坏 。 轻 则 修改 用 户 的 注 
册 表 ,使 用 户 的 首页 .浏览 器 标题 改变 , 重 则 可 以 关闭 系统 的 很 多 功能 , 装 上 木马 , 染 上 病毒 ， 
使 用 户 无 法 正常 使 用 计算 机 系统 ,严重 者 则 可 以 将 用 户 的 系统 进行 格式 化 。 而 这 种 网 页 病 
毒 容易 编写 和 修改 ,使 用 户 防不胜防 。 

目前 的 网 页 病毒 都 是 利用 JS. ActiveX、WSH 共同 合作 来 实现 对 客户 端 计算 机 进行 本 
地 的 写 操作 ,如 改写 注册 表 , 在 本 地 计算 机 硬盘 上 添加 、 删 除 、 更 改 文 件 夹 或 文件 等 操作 。 而 
这 一 功能 却 恰恰 使 网 页 病毒 .网 页 森马 有 了 可 乘 之 机 。 

网 页 病毒 使 得 各 种 非法 恶意 程序 能 够 得 以 被 自动 执行 ,在 于 它 完 全 不 受用 户 的 控制 。 
只 要 浏览 含有 病毒 的 网 页 , 即 可 在 不 知 不 觉 中 感染 病毒 ,给 用 户 的 系统 带 来 不 同 程度 的 破 
坏 。 令 用 户 若 不 堪 言 ,甚至 损失 惨重 ,无 法 弥补 。 

既然 是 网 页 病毒 ,那么 简单 地 说 , 它 就 是 一 个 网 页 ,但 在 这 个 网 页 运行 于 本 地 时 , 它 所 执 
行 的 操作 就 不 仅仅 是 下 载 后 再 读 出 ,伴随 着 该 操作 背后 还 有 该 病毒 软件 或 木马 的 下 载 , 然 后 
执行 ,悄悄 地 修改 注册 表 ,等 等 。 

网 页 病毒 主要 是 利用 软件 或 操作 系统 的 安全 漏洞 ,通过 执行 嵌入 在 网 页 内 的 Java 
Applet 小 应 用 程序 JavaScript 脚本 语言 程序 或 ActiveX 插件 等 程序 ,以 强行 修改 用 户 操作 
系统 的 注册 表 设置 及 系统 实用 配置 ,恶意 删除 硬盘 文件 .格式 化 硬盘 等 方法 作为 手段 ,达到 
非法 控制 系统 资源 , 盗 取 用 户 文 件 的 恶意 行为 。 

3. 僵尸 网 络 

僵尸 网 络 (Botnet) 是 由 被 入侵 的 众多 主机 构成 的 逻辑 网 络 ,可 被 攻击 者 远程 控制 以 执 
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行 某 些 非法 任务 。 僵 尸 程序 是 一 种 被 非法 安装 在 僵尸 主机 中 ,执行 远程 控制 与 任务 分 发 等 
任务 的 恶意 代码 。 通 常 一 个 僵尸 网 络 可 以 控制 大 量 的 僵尸 主机 ,获得 强大 的 分 布 式 计算 能 
力 与 丰富 的 信息 资源 。 作 为 攻击 者 手中 有 效 的 通用 攻击 平台 ,僵尸 网 络 可 以 执行 DDoS 攻 
击 、 垃 圾 邮件 .木马 分 发 等 行为 。 目 前 僵尸 网 络 已 成 为 互联 网 中 的 一 个 很 大 的 安全 威胁 。 

僵尸 网 络 是 由 传统 的 网 络 蠕虫 和 木马 发 展 而 来 的 一 种 新 型 攻击 形式 。 蠕 虫 具有 利用 已 
有 的 安全 漏洞 而 快速 传播 的 优势 ,但 是 它 在 感染 大 量 计算 机 后 难以 被 攻击 者 控制 。 也 就 是 
说 ,攻击 者 难以 获得 蠕虫 病毒 的 扩散 速度 、 感 染 规模 与 地 理 分 布 等 信息 ,也 就 是 无 法 利用 蠕 
虫 按照 自己 的 目标 来 发 动 攻击 。 木 马 具有 对 目标 主机 的 远程 控制 能 力 ,但 是 感染 速度 慢 、 管 
理 规模 小 ,控制 方式 简单 。 伪 尸 网 络 实现 了 控制 逻辑 与 攻击 任务 的 分 离 , 伪 尸 主机 中 的 伪 己 
程序 负责 控制 逻辑 ,而 攻击 任务 由 控制 者 根据 需求 来 动态 分 发 。 

僵尸 网 络 的 起 源 可 以 追溯 至 1993 年 的 Eggdrop Bot, 它 最 初 是 被 用 于 IRC 网 络 管理 的 
一 种 机 器 人 程序 。 早 期 的 僵尸 网 络 多数 利 用 IRC 协议 来 进行 通信 。1999 年 出 现 的 GTBot 
是 第 一 个 知名 的 恶意 僵尸 网 络 ,在 其 僵尸 程序 中 嵌入 了 一 个 IRC 程序 (mIRC)。 基 于 IRC 
协议 的 僵尸 网 络 主要 有 Spybot、Rbot 与 Agobot 等 。 为 了 提高 僵尸 网 络 的 隐蔽 性 与 可 生存 
性 ,通信 手段 逐步 转向 HTTP 协议 与 P2P 协议 。 对 于 基于 HTTP 协议 的 僵尸 网 络 来 说 ,从 
尸 程序 可 利用 HTTP 协议 来 轮 询 控制 服务 器 的 命令 ,这 类 僵尸 网 络 的 典型 代表 是 Bobax 与 
Clickbot。 基 于 P2P 的 僵尸 网 络 主要 利用 不 同 P2P 网 络 来 实现 任务 分 发 ,这 类 僵尸 网 络 主 
要 包括 Slapper、Saint、Phatbot 与 Storm 等 。 

近年 来 ,僵尸 网 络 发 展 趋势 是 集成 多 种 通信 方式 的 复杂 化 系统 。 例 如 ,Conficker 综合 
使 用 了 Random P2P 与 Domain Flux 通信 方式 ,Waledac 综合 使 用 了 HTTP、Hybrid P2P 
与 Fast Flux 通信 方式 ,它们 给 网 络 系统 防御 带 来 严峻 的 考验 。 随 着 智能 手机 的 普及 和 移 
动 接 入 的 发 展 , 基 于 移动 智能 终端 的 僵尸 网 络 开始 出 现 。 例 如 ,针对 IOS 系统 的 iKee. B 与 
针对 Android 系统 的 Geinimi, 它 们 通常 采用 HTTP 协议 来 进行 通信 。2010 年 ,具有 部 分 
僵尸 网 络 功能 的 Stuxnet 出 现 , 它 是 第 一 种 攻击 工业 控制 系统 的 病毒 ,首次 实现 了 对 可 编程 
逻辑 控制 器 (PLC) 的 改写 ,这 标志 着 攻击 物理 隔离 内 网 的 僵尸 网 络 出 现 。 

僵尸 网 络 是 可 被 攻击 者 通过 命令 来 远程 控制 ,并 可 实现 协同 工作 的 计算 机 集群 。 僵 己 
网 络 作为 一 种 很 重要 的 网 络 攻击 平台 ,长 期 以 来 成 为 攻击 者 手中 掌握 的 有 效 武器 。 针 对 多 
种 主流 的 智能 手机 操作 系统 ,以 窃取 个 人 信息 和 牟取 经 济 利益 为 目标 的 僵尸 网 络 将 会 快速 
发 展 。 通 过 移动 介质 渗入 物理 隔离 内 网 的 计算 机 ,并 攻击 与 其 相连 的 特定 系统 (如 工业 系 
统 \ 金 融 系统 与 军事 系统 ) ,这 类 面向 网 络 系统 的 僵尸 网 络 也 会 快速 发 展 。 伪 尸 网 络 的 威胁 
将 会 延伸 到 更 广阔 的 网 络 空间 ,并 给 用 户 生 活 ,社会 甚至 国家 安全 带 来 更 大 的 危害 。 

4. Rootkit 


Rootkit 是 一 种 特殊 类 型 的 恶意 软件 ,主要 用 于 隐藏 自己 及 其 他 软件 。Rootkit 的 主要 
目标 是 防止 用 户 发 现 或 删除 自己 ,以 及 避免 用 户 知道 自己 的 基本 功能 。Rootkit 是 安装 在 计 
算 机 中 的 一 组 程序 ,用 于 以 管理 员 身 份 来 访问 该 系统 。 如 果 拥 有 超级 用 户 的 访问 权限 ,攻击 
者 就 可 以 完全 控制 这 台 计 算 机 。 无 论 是 在 静止 状态 以 文件 形式 存在 ,还 是 在 活动 状态 以 进 
程 形式 存在 ,Rootkit 都 尽量 避免 用 户 发 现 自己 的 存在 。 攻 击 者 可 以 在 入 侵 计算 机 后 安装 
Rootkit ,秘密 搜集 敏感 信息 或 寻找 攻击 的 机 会 。 取 证 人 员 也 可 以 利用 Rootkit 实时 监控 嫌 
疑 人 员 的 不 法 行为 。 
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1994 年 ,Rootkit 最 早出 现在 一 份 安全 咨询 报告 中 。Rootkit 通常 是 一 个 由 多 种 程序 组 
成 的 工具 包 , 其 中 包含 各 种 辅助 工具 。 典 型 的 Rootkit 通常 包括 3 种 程序 : 一 是 以 太 网 嗅 探 
程序 ,以 便 获得 用 户 信 息 ( 如 用 户 名 和 密码 ); 二 是 木马 程序 ,如 inetd 或 login ,为 攻击 者 提 
供出 入 途径 ; 三 是 目录 与 进程 隐藏 程序 ,如 ps、netstat、rshd 和 1s 等 ,用 于 隐藏 攻击 者 的 行 
踪 。 另 外 ,Rootkit 可 能 包括 某 种 日 志清 理工 具 , 如 Zap 或 Z2 ,删除 日 志文 件 中 有 关 自 己 行 
踪 的 信息 。 有 些 复杂 的 Rootkit 还 会 向 攻击 者 提供 Telnet、Shell 和 Finger 等 服务 。 

Rootkit 能 为 攻击 者 提供 各 种 有 效 的 攻击 工具 。 首 先 ,攻击 者 需要 以 某 种 方式 获取 超级 
用 户 的 权限 ,如 密码 破译 .缓冲 区 溢出 等 ; 然后 攻击 者 需要 在 目标 系统 中 安装 与 配置 
Rootkit。 攻 击 者 可 使 用 Rootkit 中 的 相关 程序 蔡 代 系统 诛 有 程序 (如 ps netstat 和 ls) ,从 
而 使 管理 员 无 法 通过 这 些 工 具 发 现 自己 的 踪迹 。 

Rootkit 作为 一 种 强大 的 后 门 工具 ,隐藏 性 是 它 的 首要 特征 。 当 Rootkit 被 成 功 植 人 
后 , 它 会 利用 各 种 手段 来 隐藏 踪迹 。API Hook 技术 是 指 用 新 编写 的 API 函数 替换 系统 原 
有 的 API 函数 , 当 应 用 程序 调用 某 个 API 函数 时 会 调用 新 的 API。Rootkit 常 使 用 该 技术 
进行 系统 核心 函数 的 拦截 处 理 。 

由 于 Rootkit 替换 或 修改 目标 系统 中 的 特定 程序 ,因此 该 程序 在 操作 系统 中 的 层次 决 
定 Rootkit 的 类 型 。 从 这 个 角度 来 看 ,Rootkit 主要 分 为 两 种 类 型 : 内 核 级 Rootkit 与 用 户 
态 Rootkit。 其 中 内 核 级 Rootkit 运行 在 操作 系统 的 内 核 中 , 它 替 换 或 修改 的 是 内 核 中 的 模 
块 或 系统 调用 。 这 类 Rootkit 的 主要 特点 是 隐蔽 性 高 ,发现 与 清除 Rootkit 的 难度 大 。 用 户 
态 Rootkit 运行 在 操作 系统 的 用 户 层 , 它 蔡 换 或 修改 的 是 用 户 或 管理 员 运 行 的 程序 。 由 于 
没有 对 操作 系统 的 内 核 造成 影响 ,因此 这 类 Rootkit 的 危害 比 内 核 级 Rootkit 小 。 目 前 最 常 
见 的 是 针对 Linux 操作 系统 的 Rootkit 。 





4.4 计算 机 病毒 制作 与 反 病 毒 技 术 


4.4.1 计算 机 病毒 的 一 般 构 成 


计算 机 病毒 一 般 由 3 个 基本 模块 组 成 , 即 安 装 模 块 .传染 模块 和 破坏 模块 。 对 每 个 病毒 
程序 来 说 ,安装 模块 传染 模块 是 必 不 可 少 的 ,而 破坏 模块 则 可 以 直接 隐 含 在 传染 模块 中 ,也 
可 以 单独 构成 一 个 模块 。 

1. 安装 模块 

每 个 用 户 都 不 会 主动 运行 一 个 病毒 程序 ,因此 ,病毒 程序 必须 通过 自身 的 程序 实现 自 启 
动 并 安装 到 计算 机 系统 中 ,不 同类 型 的 病毒 有 不 同 的 安装 方法 。 安 装 模 块 的 功能 包括 初始 
化 、 隐 藏 和 捕捉 。 安 装 模 块 随 着 感染 的 宿主 程序 的 执行 进入 内 存 , 首 先 ,初始 化 其 运行 环境 ， 
使 病毒 相对 独立 于 宿主 程序 ,为 传染 模块 做 好 准备 。 然 后 ,利用 各 种 可 能 的 隐藏 方式 ,躲避 
各 种 检测 ,欺骗 系统 ,将 自己 隐蔽 起 来 。 

2. 传染 模块 

传染 模块 包括 三 部 分 内 容 。 

(1) 传染 控制 部 分 。 病 毒 一 般 都 有 一 个 控制 条 件 ,满足 这 个 条 件 就 开始 感染 。 例 如 , 首 


102 计算 机 信息 安全 技术 (第 2 版 ) 





先 按 病毒 判断 某 个 文件 是 否 是 . exe 文件 ,如 果 是 ,就 进行 传染 ,否则 再 寻找 下 一 个 文件 。 

(2) 传染 判断 部 分 。 每 个 病毒 程序 都 有 一 个 标记 ,在 传染 时 判断 这 个 标记 ,如 果 磁 盘 或 
文件 已 经 被 传染 就 不 再 传染 ,否则 就 传染 。 

(3) 传染 操作 部 分 。 在 满足 传染 条 件 的 时 候 进行 传染 操作 。 

3. 破坏 模块 

计算 机 病毒 的 最 终 目 的 是 进行 破坏 ,其 破坏 的 基本 手段 就 是 删除 文件 或 数据 。 破 坏 模 
块 包 括 两 部 分 : 一 部 分 是 激发 控制 , 当 病毒 满足 一 个 条 件 , 如 当 满 足 " 某 月 13 日 ,并 且 是 星 
期 五 ”时 ,病毒 就 发 作 ; 另 一 部 分 是 破坏 操作 ,不 同 病 毒 有 不 同 的 操作 方法 ,典型 的 恶性 病毒 
是 疯狂 复制 .删除 文件 等 。 


4.4.2 计算 机 病毒 制作 技术 


1. 采用 自 加 密 技术 

计算 机 病毒 采用 自 加 密 技 术 就 是 为 了 防止 被 计算 机 病毒 检测 程序 扫描 出 来 ,并 被 轻易 
地 反 汇 编 。 计 算 机 病毒 使 用 加 密 技术 后 ,给 分 析 和 破译 计算 机 病毒 的 代码 及 清除 病毒 等 工 
作 增 加 了 难度 。 

2. 采用 特殊 的 隐形 技术 

当 计 算 机 病毒 采用 特殊 的 隐形 技术 后 ,可 以 在 计算 机 病毒 进入 内 存 后 ,使 计算 机 用 户 几 
平 感 觉 不 到 它 的 存在 。 采 用 这 种 “隐形 ”技术 的 计算 机 病毒 可 以 有 以 下 几 种 表现 形式 。 

(1) 这 种 计算 机 病毒 进入 内 存 后 ,用 户 不 用 专门 的 软件 或 专门 手段 去 检查 ,几乎 觉察 不 
到 病毒 驻 留 内 存 而 引起 内 存 可 用 容量 的 减少 。 

(2) 计算 机 病毒 感染 正常 文件 以 后 ,该 文件 的 日 期 ,时间 和 文件 长 度 等 信息 不 发 生 
变化 。 

(3) 计算 机 病毒 在 内 存 中 时 , 若 查看 计算 机 病毒 感染 的 文件 ,根本 看 不 到 计算 机 病毒 的 
程序 代码 ,只 能 看 到 原 正 常 文件 的 程序 代码 。 

(4) 计算 机 病毒 在 内 存 中 时 , 若 查看 被 感染 的 引导 扇 区 ,只 会 看 到 正常 的 引导 扇 区 ,而 
看 不 到 实际 上 处 于 引导 扇 区 位 置 的 计算 机 病毒 程序 。 

(5) 计算 机 病毒 在 内 存 中 时 ,计算 机 病毒 防范 程序 和 其 他 工具 程序 检查 不 出 中 断 向 量 
已 经 被 计算 机 病毒 所 接管 ,但 实际 上 计算 机 病毒 代码 已 链接 到 系统 的 中 断 服务 程序 中 了 。 

3. 对 抗 计算 机 病毒 防范 系统 

计算 机 病毒 采用 对 抗 计算 机 病毒 防范 系统 技术 时 , 当 发 现 磁盘 中 某 些 著 名 的 杀毒 软件 
或 在 文件 中 查 到 出 版 这 些 软 件 的 公司 名 ,就 会 删除 这 些 杀 毒 软件 或 文件 ,造成 杀毒 软件 失 
效 , 甚 至 引起 系统 崩溃 。 

4， 反 跟踪 技术 

跟踪 技术 是 利用 Debug .SoftICE 等 专用 程序 调试 软件 对 病毒 代码 执行 过 程 进行 跟踪 ， 
以 达到 分 析 病 毒 和 杀毒 的 目的 。 计 算 机 病毒 采用 反 跟 踪 技 术 的 主要 目的 是 要 提高 计算 机 病 
毒 程序 的 防 破译 和 防伪 能 力 。 常 规程 序 使 用 的 反 跟 踪 技 术 在 计算 机 病毒 程序 中 都 可 以 利 
用 ,如 将 堆栈 指针 指向 中 断 向 量 表 中 的 INT 0~INT 3 区 域 ,以 阻止 用 户 利用 SoftICE 等 调 
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试 软件 对 病毒 代码 进行 跟踪 。 
4.4.3 病毒 的 检测 


在 与 病毒 的 对 抗 中 ,尽早 发 现 病毒 十 分 重要 , 早 发 现 , 早 处 置 , 可 以 减少 损失 。 病 毒 检 测 
就 是 采用 各 种 检测 方法 将 病毒 识别 出 来 。 识 别 病毒 包括 对 已 知 病毒 的 识别 和 对 未 知 病毒 
的 识别 。 目 前 ,对 病毒 的 检测 方法 主要 有 特征 代码 法 、 校 验 和 法 ,行为 监测 法 和 软件 模拟 
法 等 。 

1. 特征 代码 法 

特征 代码 技术 是 根据 病毒 程序 的 特征 ,如 感染 标记 特征 程序 段 内 容 、 文 件 长 度 变 化 、 文 
件 校 验 和 变化 等 对 病毒 进行 分 类 处 理 ,而 后 在 程序 运行 中 凡 有 类 似 的 特征 点 出 现 , 则 认定 是 
病毒 ,是 早期 病毒 检测 技术 的 主要 方法 ,也 是 大 多 数 反 病毒 软件 的 静态 扫描 方法 。 一 般 认 
为 ,特征 代码 法 是 检测 已 知 病毒 的 最 简单 .开销 最 小 的 方法 。 

特征 代码 法 的 工作 原理 是 对 每 种 病毒 样本 抽取 特征 代码 ,根据 该 特征 代码 进行 病毒 检 
测 。 主 要 依据 原则 为 : 抽取 的 代码 比较 特殊 ,不 大 可 能 与 普通 正常 程序 代码 吻合 。 抽 取 的 
代码 要 有 适当 的 长 度 ,一 方面 维持 特征 代码 的 唯一 性 ,也 就 是 说 一 定 要 具有 代表 性 ,使 用 所 
选 的 特征 代码 都 能 够 正确 地 检查 出 它 所 代表 的 病毒 。 如 果 病 毒 特征 代码 选择 得 不 准确 ,就 
会 带 来 误 报 (发 现 的 不 是 病毒 ) 或 漏 报 ( 真 正 病毒 没有 发 现 )。 另 一 方面 不 要 有 太 大 的 时 间 和 
空间 的 开销 。 一 般 是 在 保持 唯一 性 的 前 提 下 ,尽量 使 特征 代码 长 度 短 些 , 以 减少 时 间 和 空间 
的 开销 。 用 每 一 种 病毒 代码 中 含有 的 特定 字符 或 字符 串 对 被 检测 的 对 象 进 行 扫描 ,如 果 在 
被 检测 对 象 内 部 发 现 某 种 特定 字符 或 字符 串 , 则 表明 发 现 了 该 字符 或 字符 串 代表 的 病毒 。 
前 面 介绍 传染 机 制 时 提 到 的 感染 标记 就 是 一 种 识别 病毒 的 特定 字符 。 实 现 这 种 扫描 的 软件 
称 为 特征 扫描 器 。 根 据 特征 代码 法 的 工作 原理 ,特征 扫描 器 由 病毒 特征 代码 库 和 扫描 引擎 
两 部 分 组 成 。 病 毒 特征 代码 库 包 含 了 经 过 特别 选 定 的 各 种 病毒 的 反映 其 特征 的 字符 或 字符 
串 。 扫 描 引 擎 利用 病毒 特征 代码 库 对 检测 对 象 进行 匹配 性 扫描 ,一 旦 有 匹配 便 发 出 报警 。 
显然 ,病毒 特征 代码 库 中 的 病毒 特征 代码 越 多 ,扫描 引擎 能 识别 的 病毒 也 就 越 多 。 

特征 代码 法 的 优点 是 检测 速度 快 , 误 报警 率 低 ,能 够 准确 地 查 出 病毒 并 确定 病毒 的 种 类 
和 名 称 ,为 消除 病毒 提供 确切 的 信息 。 缺 点 是 不 能 检测 出 未 知 病毒 .变种 病毒 和 隐蔽 性 病 
毒 , 需 要 定期 更 新 病毒 资料 库 , 具 有 滞后 性 ,同时 ,搜集 已 知 病毒 的 特征 代码 费用 开销 大 。 

2. 校 验 和 法 

校 验 和 法 的 工作 原理 是 计算 正常 文件 内 容 的 校 验 和 ,将 该 校 验 和 写 入 文件 中 或 写 入 别 
的 文件 中 保存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文件 当前 内 容 算出 的 校 
验 和 与 原来 保存 的 校 验 和 是 否 一 致 ,如 果 不 一 致 便 发 出 染 毒 报警 。 

运用 校 验 和 法 检测 病毒 一 般 采 用 以 下 3 种 方式 。 

(1) 在 检测 病毒 工具 中 纳入 校 验 和 法 ,对 被 查 对 象 文件 计算 其 正常 状态 的 校 验 和 ,将 校 
验 和 值 写 入 被 查 文件 中 或 检测 工具 中 ,然后 进行 比较 。 

(2) 在 应 用 程序 中 放 入 校 验 和 自动 检查 功能 ,将 文件 正常 状态 的 校 验 和 写 入 文件 本 身 
中 ,每 当 应 用 程序 启动 时 ,比较 当前 校 验 和 与 原 校 验 和 的 值 ,实现 应 用 程序 的 自 检测 。 

(3) 将 校 验 和 检查 程序 常 驻 内 存 ,每 当 应 用 程序 开始 运行 时 ,自动 比较 检查 应 用 程序 内 
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容 或 别 的 文件 中 预先 保存 的 校 验 和 。 

校 验 和 法 既 能 发 现 已 知 病毒 ,也 能 发 现 未 知 病毒 ,但 是 , 它 不 能 识别 病毒 种 类 ,不 能 报 出 
病毒 名 称 。 由 于 病毒 感染 并 非 文件 内 容 改变 的 唯一 性 原因 ,文件 内 容 的 改变 有 可 能 是 正 党 
程序 引起 的 ,如 软件 版 本 更 新 、 变 更 口令 及 修改 运行 参数 等 ,因此 校 验 和 法 常常 有 虚假 报警， 
而 且 此 法 也 会 影响 文件 的 运行 速度 。 另 外 , 校 验 和 法 对 某 些 隐蔽 性 极 好 的 病毒 无 效 。 这 种 
病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 病毒 代码 ,使 校 验 和 法 受骗 ,对 一 个 有 毒 文件 算 
出 正常 校 验 和 。 因 此 , 校 验 和 法 的 优点 是 方法 简单 ,能 发 现 未 知 病毒 ,被 查 文件 的 细微 变化 
也 能 发 现 ; 其 缺点 是 必须 预先 记录 正常 状态 的 校 验 和 ,会 有 虚假 报警 ,不 能 识别 病毒 名 称 、 
不 能 对 付 某 些 隐蔽 性 极 好 的 病毒 。 

3. 行为 监测 法 

行为 监测 法 是 常用 的 行为 判定 技术 ,其 工作 原理 是 利用 病毒 的 特有 行为 特征 进行 检测 ， 
一 旦 发 现 病毒 行为 则 立即 报警 。 经 过 对 病毒 多 年 的 观察 和 研究 ,人 们 发 现 病毒 的 一 些 行为 
是 病毒 共有 的 ,而 且 比较 特殊 。 在 正常 程序 中 ,这 些 行为 比较 罕见 ,如 一 般 引导 型 病毒 都 会 
占用 INT 13H; 病毒 常 驻 内 存 后 ,为 防止 操作 系统 将 其 覆盖 ,必须 修改 系统 内 存 总 量 ; 对 
COM.、EXE 文件 必须 执行 写 和 操作; 染 毒 程度 运行 时 , 先 运行 病毒 ,后 执行 宿主 程序 ,两 者 
切换 等 许多 特征 行为 。 行 为 监测 法 就 是 引入 一 些 人 工 智能 技术 ,通过 分 析 检 查 对 象 的 逻辑 
结构 ,将 其 分 为 多 个 模块 ,分 别 引入 虚拟 机 中 执行 并 监测 ,从 而 查 出 使 用 特定 触发 条 件 的 
病毒 。 

行为 监测 法 的 优点 在 于 不 仅 可 以 发 现 已 知 病毒 ,而 且 可 以 相当 准确 地 预报 未 知 的 多 数 
病毒 。 但 也 有 其 缺点 , 即 可 能 虚假 报警 和 不 能 识别 病毒 名 称 ,而 且 实现 起 来 有 一 定 难度 。 

4. 软件 模拟 法 

变种 病毒 每 次 感染 部 变化 其 病毒 代码 ,对 付 这 种 病毒 ,特征 代码 法 失效 ,因为 变种 病毒 
代码 实施 密码 化 ,而 且 每 次 所 用 的 密 钥 不 同 ,把 染 毒 的 代码 相互 比较 也 无 法 找 出 相同 的 可 能 
作为 特征 的 稳定 代码 。 虽 然 行为 监测 法 可 以 检测 出 变种 病毒 ,但 在 检测 出 病毒 后 ,因为 病毒 
的 种 类 不 知道 ,也 无 法 做 杀毒 处 理 。 

软件 模拟 法 是 新 的 病毒 检测 工具 所 使 用 的 方法 之 一 。 该 工具 开始 运行 时 ,使 用 特征 代 
码 法 检测 病毒 ,如 果 发 现 有 隐蔽 性 病毒 或 变种 病毒 的 嫌疑 时 ,启动 软件 模拟 模块 。 软 件 模拟 
法 模拟 CPU 的 执行 ,在 其 设计 的 虚拟 机 下 执行 病毒 的 变 体 引擎 解码 程序 ,安全 地 将 变种 病 
毒 解 开 ,监视 病毒 的 运行 ,使 其 露出 本 来 的 面目 ,再 加 以 扫描 。 待 病毒 自身 的 密码 译 码 以 后 ， 
再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

总 地 来 说 ,特征 代码 法 查 杀 已 知 病毒 比较 安全 彻底 ,实施 比较 简单 .常用 于 静态 扫描 模 
块 中 ; 其 他 几 种 方法 适用 于 查 杀 未 知 病毒 和 变种 病毒 ,但 误 报 率 高 ,实施 难度 大 ,在 常 驻 内 
存 的 动态 监测 模块 中 发 挥 重要 作用 。 


4.4.4 病毒 的 预防 与 清除 


事先 预防 病毒 的 入 侵 是 阻止 病毒 攻击 和 破坏 的 最 有 效 手段 ,主要 的 病毒 预防 措施 有 以 
下 几 方 面 。 
(1) 安全 地 启动 计算 机 系统 。 在 保证 硬盘 无 毒 的 情况 下 ,尽量 使 用 硬盘 引导 系统 。 启 
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动 前 ,一般 应 将 软盘 或 U 盘 从 驱动 器 中 取出 ,这 是 因为 即使 在 不 通过 软盘 或 U 盘 启动 的 情 
况 下 ,只 要 在 启动 时 读 过 软盘 或 U 盘 , 病 毒 也 有 可 能 进入 内 存 。 

(2) 安全 使 用 计算 机 系统 。 在 自己 的 计算 机 上 使 用 别人 的 U 盘 前 应 先进 行 检查 ,在 别 
人 的 计算 机 上 使 用 过 曾 打 开 的 写 保 护 的 软盘 或 U 盘 , 再 在 自己 的 计算 机 上 使 用 之 前 ,也 应 
进行 病毒 检测 。 对 重点 保护 的 计算 机 系统 应 做 到 专机 、 专 盘 、 专 人 、 专 用 ,封闭 的 使 用 环境 中 
是 不 会 产生 病毒 的 。 

(3) 备份 重要 的 数据 。 硬 盘 分 区 表 、 引 导 扇 区 等 关键 数据 应 做 备份 妥善 保管 ,在 进行 系 
统 维护 和 修复 时 可 作 参 考 。 重 要 数据 文件 要 定期 做 备份 ,如 果 硬 盘 资 料 已 遭 破坏 ,不 必 急 着 
格式 化 ,可 以 利用 灾后 重建 的 反 病毒 程序 加 以 分 析 、 重 建 ,可 能 会 恢复 被 破坏 的 文件 资料 。 

(4) 谨慎 下 载 文件 。 不 要 随便 直接 运行 或 打开 电子 邮件 中 的 附件 ,不 要 随意 下 载 软件 ， 
对 于 新 软件 应 主动 检查 ,这 样 可 以 过 滤 掉 大 部 分 病毒 。 对 于 一 些 可 执行 文件 或 Office 文 
档 , 即 使 不 是 不 明文 件 , 下 载 后 也 要 先 用 最 新 的 反 病 毒 软件 来 检查 。 

(5) 留意 计算 机 系统 的 异常 。 当 计算 机 系统 出 现 异 常 , 如 屏幕 显示 异常 .出 现 不 明 的 声 
音 , 不 执行 命令 、 自 动 重启 、 内 存 异常 速度 变 慢 、 文 件 长 度 改变 等 都 表示 可 能 存在 病毒 。 

(6) 使 用 正版 杀毒 软件 。 尊 重 知识 产权 ,使 用 正版 杀毒 软件 。 


习 题 4 


一 、 选 择 题 
1. 关于 计算 病毒 ,下 列 说 法 正确 的 是 ( Ys 

A. 计算 机 病毒 不 感染 可 执行 文件 和 . COM 文件 

B. 计算 机 病毒 不 感染 文本 文件 

C. 计算 机 病毒 只 能 以 复制 方式 进行 传播 

D. 计算 机 病毒 可 以 通过 读 写 磁盘 和 网 络 等 方式 传播 
2. 与 文件 型 病毒 对 比 ,蠕虫 病毒 不 具有 的 特征 是 ( ) 


A. 寄生 性 B. 传染 性 C. 隐蔽 性 D. 破坏 性 
3. 关于 木马 的 描述 中 ,正确 的 是 ( hs 

A. 主要 用 于 分 发 商业 广告 B. 主要 通过 自我 复制 来 传播 

C. 可 通过 垃圾 邮件 来 传播 D. 通常 不 实现 远程 控制 功能 
4. 关于 特征 代码 检测 技术 的 描述 中 ,正确 的 是 ( Ds 

A. 根据 恶意 代码 行为 实现 识别 B. 检测 已 知 恶 意 代 码 的 准确 率 高 


C. 具有 自我 学 习 与 自我 完善 的 能 力 D. 有 效 识别 未 知 恶意 代码 或 变 体 
. 关于 宏 病 毒 的 描述 中 ,正确 的 是 ( Ys 


Cn 


A. 引导 区 病毒 的 典型 代表 B. 脚本 型 病毒 的 典型 代表 
C. 僵尸 型 病毒 的 典型 代表 D. 蠕虫 型 病毒 的 典型 代表 
、 填 空 题 


与 普通 病毒 不 同 , 宏 病毒 不 感染 EXE 文件 和 COM 文件 ,也 不 需要 通过 引导 区 传播 ， 
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2. 计算 机 病毒 一 般 由 3 个 基本 模块 组 成 , 即 和 g 

3. 如 果 某 电子 邮件 中 含有 广告 信息 ,并 且 是 由 发 送 方 大 批 量 的 群发 , 则 这 封 邮 件 称 
为 

4. 根据 病毒 的 寄生 方式 分 类 .计算 机 病毒 可 以 分 为 \ 文 件 型 病毒 、 和 
混合 型 病毒 4 种 。 

三 、 简 答题 


1. 简 述 计算 机 病毒 的 定义 和 基本 特征 。 

2. 计算 机 病毒 有 哪 几 种 类 型 ? 

3. 简 述 计算 机 病毒 的 一 般 构成 。 

4. 计算 机 病毒 的 制作 技术 有 哪些 ? 

5. 目前 使 用 的 查 杀 病毒 的 技术 有 哪些 ? 

6. 什么 是 特洛伊 木马 ? 特洛伊 木马 一 般 由 哪 几 部 分 组 成 ? 

7. 编写 一 个 病毒 演示 程序 ,实现 自动 执行 .自动 传染 和 删除 指定 文件 的 功能 。 
8. 分 析 下 面 的 代码 ,程序 运行 将 有 什么 结果 ? 


< html > 
<body> 
<R href = "" onmouseover = "while(true) {window. open()}"> 点 击 可 进入 你 需要 的 网 站 </A> 
</body > 
</html> 


第 5 章 网 络 攻 击 与 防范 技术 


从 信息 安全 技术 体系 的 角度 来 讲 ,网 络 攻击 和 评测 的 理论 与 实践 是 对 信息 系统 安全 性 
的 考验 。 兵 法 说 ,知己 知 彼 , 百 战 不 列 。 只 有 对 网 络 攻击 技术 和 方法 有 深入 、 详 细 的 了 解 , 才 
能 对 系统 提供 更 有 效 的 保护 。 


5.1 网 络 攻击 概述 和 分 类 


简单 地 说 ,攻击 ?是 指 一 切 针对 计算 机 的 非 授权 行为 。 攻 击 的 全 过 程 应 该 是 由 攻击 者 
发 起 的 ,攻击 者 应 用 一 定 的 攻击 方法 和 攻击 策略 ,利用 一 些 攻击 技术 或 工具 ,对 目标 系统 进 
行 非法 访问 ,达到 一 定 的 攻击 效果 ,并 实现 攻击 者 的 预定 攻击 目标 。 因 此 ,凡是 试图 绕 过 系 
统 的 安全 策略 ,或 者 对 系统 进行 渗透 ,以 获取 信息 、 修 改 信息 甚至 破坏 目标 网 络 或 系统 功能 
为 目的 的 行为 都 可 以 称 为 攻击 。 


5.1.1 网 络 安全 漏洞 


从 技术 上 说 ,网 络 容易 受到 攻击 的 原因 主要 是 网 络 软件 不 完善 和 网 络 协议 本 身 存在 安 
全 漏洞 。 例 如 ,使 用 最 多 、 最 著名 的 TCP/IP 就 存在 大 量 的 安全 漏洞 。 这 是 因为 TCP/IP 在 
设计 时 ,设计 人 员 只 考虑 到 如 何 实现 粗 久 的 信息 通信 ,而 忽略 了 会 有 人 破坏 信息 通信 的 安全 
性 问题 。 下 面 举例 说 明 TCP/IP 的 几 个 安全 漏洞 。 

(1) 由 于 TCP/IP 数据 流 采用 的 是 明文 传输 ,因此 电子 信息 很 容易 被 在 线 窃听 、 算 改 和 
伪造 。 特 别 是 在 使 用 FTP 和 Telnet 命令 时 ,如 果 用 户 的 账号 .口令 是 明文 传输 的 ,攻击 者 
就 可 以 使 用 Sniffer、WireShark 等 软件 截取 用 户 的 账号 和 口令 。 

(2) 由 于 TCP/IP 是 用 了 作为 网 络 节点 的 唯一 标识 ,但 是 节点 的 了 P 地 址 却 是 不 固定 的 ， 
而 且 是 一 个 公共 数据 ,因此 攻击 者 可 以 直接 通过 修改 节点 的 卫 地 址 来 冒充 某 个 可 信和 节点 的 人 P 
地 址 进行 攻击 ,实现 源 地 址 欺骗 或 PP 欺骗 。 所 以 ,IP 地 址 不 能 作为 一 种 可 信 的 认证 方法 。 

(3) TCP/IP 只 能 根据 IP 地 址 进行 鉴别 ,而 不 能 对 节点 上 的 用 户 进行 有 效 的 身份 认证 ， 
因此 服务 器 无 法 鉴别 登录 用 户 身份 的 有 效 性 。 目 前 主要 依靠 服务 器 软件 平台 提供 的 用 户 控 
制 机 制 ,如 用 户 名 ,口令 等 进行 身份 认证 。 

TCP/IP 的 安全 漏洞 还 有 很 多 , 感 兴趣 的 读者 可 以 查阅 有 关 网 络 安全 方面 的 书籍 ,这 里 
不 袭 述 。 

除了 TCP/IP 漏洞 以 外 ,软件 系统 本 身 的 漏洞 也 是 给 网 络 攻击 有 机 可 乘 的 另外 一 个 重 
要 因素 。 

从 操作 系统 的 发 展 历史 可 以 看 到 ,早期 的 Windows 3. 1 操作 系统 大 概 有 300 万 行 代 
码 ,发 展 到 后 来 的 Windows 95 约 有 1500 万 行 代码 , Windows 98 约 有 1800 万 行 代码 ， 
Windows XP 约 有 3500 万 行 代码 ,Windows 2000 约 有 4000 万 行 代 码 ,Windows Vista 系统 
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约 有 5000 万 行 代码 ,发展 到 现在 的 Windows 7 经 过 优化 和 精简 大 概 有 4000 万 行 代码 。 可 
想 而 知 , 如 此 庞大 规模 的 代码 量 , 再 加 上 人 们 的 认 知 能 力 和 实践 能 力 的 有 限 性 ,出 现 很 多 漏 
洞 是 一 个 大 概率 事件 。 图 5. 1 所 示 为 从 国家 漏洞 库 (CNNVD) 统 计 得 到 的 数据 ,可 以 看 出 ， 
随 着 信息 技术 的 发 展 ,2006 年 以 前 漏洞 的 数量 总 体 呈 现 一 个 快速 上 升 的 趋势 ,而 在 2006 年 
以 后 则 呈现 小 幅 下 降 。 在 这 些 漏洞 中 ,基础 型 漏洞 (如 系统 内 核 漏洞 数量 下 降 速度 较 快 ,但 
应 用 型 漏洞 数量 却 急 剧 增加 ,特别 是 Web 漏洞 数量 增长 极为 明显 。 这 一 方面 说 明 开 发 者 的 
安全 意识 和 防范 技术 都 日 渐 提 高 以 后 ,部 分 漏洞 得 到 了 适当 的 避免 ,但 另 一 方面 也 说 明 有 可 
能 受到 利益 驱使 ,部 分 漏洞 信息 在 地 下 传播 ,导致 公开 漏洞 信息 减少 。 从 图 5. 1 中 可 以 看 
出 ,漏洞 是 无 法 避免 的 ,安全 的 风险 随时 存在 。 





6607 6494 
7000 i 





6000 5637 5333 





4928 
5000 7 





三 4000 





和 3000 2450 





| 
| 
| 


2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 
年 份 


图 5.1 近 十 多 年 安全 漏洞 发 布 趋势 











RE 

















2163 
2000 直 1016 1676 | | 1503 | 
:mH 


0 





5.1.2 网 络 攻 击 的 基本 概念 


在 介绍 网 络 攻 击 概念 之 前 ,首先 要 清楚 为 什么 会 存在 网 络 攻 击 , 网 络 攻击 的 理由 和 目标 
又 是 什么 。 

其 实 , 大 多 数 网 络 攻 击 的 理由 都 很 简单 ,大 体 可 以 分 为 以 下 几 个 原因 。 

(1) 想 要 在 别人 面前 炫耀 自己 的 技术 。 例 如 ,进入 别人 的 计算 机 去 修改 一 个 文件 或 目 
录 名 。 

(2) 恶作剧 、 练 功 。 这 是 许多 人 进行 人 侵 或 破坏 的 主要 原因 ,除了 练习 的 效果 外 ,还 可 
得 到 网 络 探险 的 感觉 。 

(3) 窃取 数据 。 可 能 是 偷盗 硬盘 中 的 文件 或 各 种 账户 和 密码 ,然后 从 事 某 种 商业 应 用 。 

(4) 报复 心理 。 例 如 ,对 老板 或 公司 制度 不 满 ,事先 把 报复 程序 或 病毒 程序 写 和 所 编 的 
程序 ,并 设 定 在 将 来 某 个 时 刻 或 某 种 条 件 下 激活 并 发 作 ,摧毁 原 公 司 的 网 络 系统 。 

(5) 抗议 或 宣示 。 例 如 ,2001 年 5 月 1 日 中 美 黑客 大 战 .中 美 两 国 的 黑客 相互 攻击 对 方 网 
站 ,双方 均 有 数 以 千 计 的 网 站 遭 到 攻击 , 轻 者 被 算 改 主页 面 .严重 的 则 整个 系统 遭受 毁灭 性 打击 。 

总 体 来 说 ,网 络 攻击 可 以 从 攻击 的 位 置 、 攻 击 的 层次 进行 分 类 。 通 常 ,攻击 的 位 置 有 两 
种 , 即 远 程 攻 击 和 本 地 攻击 。 远 程 攻击 是 指 外 部 攻击 者 通过 各 种 手段 ,从 该 子 网 以 外 的 地 方 
向 该 子 网 或 子 网 内 的 系统 发 动 攻击 ,攻击 发 起 者 通常 不 会 用 自己 的 机 器 直接 发 动 攻击 ,而 是 
通过 跳板 的 方式 对 目标 进行 迁 回 攻击 ,以 迷惑 系统 管理 员 ,避免 暴露 自己 的 真实 身份 。 本 地 
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攻击 是 指 本 单位 的 内 部 人 员 通 过 所 在 的 局 域 网 向 本 单位 的 其 他 系统 发 动 攻击 。 

目前 常见 的 网 络 攻击 方法 ,大 致 可 以 分 为 以 下 几 类 。 

(1) 窃听 。 攻 击 者 通过 非法 手段 对 系统 活动 进行 监视 ,从 而 获得 一 些 安全 关键 信息 。 
目前 属于 窃听 技术 的 常用 攻击 方法 有 以 下 几 种 。 

@ 键 击 记录 : 进入 操作 系统 内 核 的 隐蔽 软件 通常 为 一 个 键盘 设备 驱动 程序 ,能 够 把 每 
次 键 击 都 记录 下 来 ,并 存放 到 攻击 者 指定 的 本 地 隐藏 文件 中 ,如 Windows 32 平台 下 使 用 的 
IKS 等 。 

@ 网 络 监 听 : 攻击 者 一 旦 在 目标 网 络 上 获得 一 个 立足 点 之 后 ,刺探 网 络 情报 的 最 有 效 
方法 就 是 网 络 窃 听 。 其 通过 设置 网 卡 的 混杂 模式 获得 网 络 上 所 有 的 数据 包 , 并 从 中 抽取 关 
键 信息 ,如 明文 方式 传输 的 口令 等 。 网 络 监 听 工 具有 Windows 平台 下 的 Sniffer 和 UNIX 
平台 下 的 Libpcap 等 。 

@ 非法 访问 数据 : 攻击 者 或 内 部 人 员 违 反 安 全 策略 对 其 访问 权限 之 外 的 数据 进行 非 
法 访问 。 

@ 获取 密码 : 进行 口令 破解 ,获取 特权 用 户 或 其 他 用 户 的 口令 。 

(2) 欺骗 。 攻 击 者 冒充 正常 用 户 以 获取 对 攻击 目标 的 访问 权 或 获取 关键 信息 。 属 于 此 
类 的 攻击 方法 有 以 下 几 种 。 

Q@ 获取 口令 : 通过 默认 口令 口令 猜测 和 口令 破解 3 种 途径 。 针 对 一 些 弱 口令 进行 猜 
测 ,也 可 以 使 用 专门 的 口令 猜测 工具 进行 破解 ,如 遍历 字典 或 高 频密 码 列表 ,从 而 找到 正确 
的 口令 。 

@ 恶意 代码 : 包括 特洛伊 木马 应 用 程序 .邮件 病毒 .网 页 病毒 等 ,通常 骨 充 成 有 用 的 软 
件 工具 ,诱导 用 户 下 载运 行 , 或 者 利用 邮件 客户 机 和 浏览 器 的 自动 运行 机 制 , 在 启动 后 悄悄 
安装 恶意 程序 ,通常 为 攻击 者 给 出 能 够 完全 控制 该 主机 的 远程 连接 。 

@ 网 络 欺 骗 : 攻击 者 通过 向 攻击 目标 发 送 冒 充 其 信任 主机 的 网 络 数据 包 , 达 到 获取 访 
问 权 限 或 执行 命令 的 目的 ,具体 有 IP 欺骗 、 会 话 支持 ,ARP 重 定向 和 RIP 路 由 欺骗 等 。 

(3) 拒绝 服务 。 拒 绝 服 务 是 指 造 成 终端 完全 拒绝 对 合法 用 户 、 网 络 、 系 统 和 其 他 资源 的 
服务 的 攻击 方法 ,其 意图 就 是 彻底 破坏 系统 。 这 也 是 比较 容易 实现 的 攻击 方法 。 特 别 是 分 
布 式 拒绝 服务 攻击 对 目前 的 Internet 构成 了 严重 威胁 。 

(4) 数据 驱动 攻击 。 通 过 向 某 个 程序 发 送 数据 ,以 产生 非 预期 结果 的 攻击 ,通常 为 攻击 
者 给 出 访问 目标 系统 的 权限 。 大 致 可 分 为 以 下 几 种 。 

Oa 缓冲 区 溢出 : 通过 向 程序 的 缓冲 区 中 写 人 超出 其 边界 的 内 容 造 成 缓冲 区 的 溢出 ,使 
得 程序 转 而 执行 攻击 者 指定 的 代码 ,通常 是 为 攻击 者 打开 远程 连接 的 ShellCode, 以 达到 攻 
击 的 目的 。 

@ 格式 化 字符 串 攻 击 : 主要 利用 由 于 格式 化 输出 函数 的 微妙 程序 设计 错误 造成 的 安全 
漏洞 ,通过 传递 精心 编制 的 含有 格式 化 指令 的 文本 字符 串 ,以 使 目标 程序 执行 任意 命令 。 

@ 信任 漏洞 攻击 : 利用 程序 滥 设 的 信任 关系 获取 访问 权限 的 一 种 方法 。 


5.1.3 网络 攻击 的 步骤 概览 


如 图 5. 2 所 示 ,网 络 攻击 的 一 般 流程 大 致 如 下 。 
(1) 目标 探测 。 攻 击 者 在 攻击 之 前 的 首要 任务 ,就 是 明确 攻击 目标 是 单个 主机 还 是 整 
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个 网 段 ,并 了 解 目标 的 具体 网 络 信息 等 。 

(2) 端口 扫描 。 通 过 端口 扫描 可 以 搜集 到 目标 主机 的 各 种 有 用 信息 ,包括 端口 是 否 开 
放 , 能 否 匿名 登录 ,等 等 。 

(3) 网 络 监听 。 黑 客 可 以 借助 网 络 监听 技术 对 其 他 用 户 进行 攻击 ,同时 也 可 以 截获 用 
户 名 口令 等 有 用 信息 。 

(4) 实施 攻击 。 采 用 有 效 的 方式 对 目标 主机 进行 攻击 ,如 缓冲 区 溢出 、DoS 等 。 

(5) 撤退 。 留 下 后 门 ,消除 攻击 的 痕迹 。 
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图 5.2 网 络 攻击 的 一 般 流 程 


5.2 目标 探测 


攻击 者 在 攻击 以 前 的 首要 任务 ,就 是 要 明确 攻击 对 象 是 单个 主机 还 是 整个 网 段 。 目 标 
探测 是 通过 自动 或 人 工 查询 的 方法 获得 与 目标 网 络 相关 的 物理 和 逻辑 参数 。 目 标 探测 是 黑 
客 攻击 的 第 一 步 。 


5.2.1 目标 探测 的 内 容 


目标 探测 所 包含 的 内 容 基本 上 有 以 下 两 类 。 

(1) 外 网 信息 。 外 网 信息 包括 域名 管理 员 信息 、 域 名 注册 机 构 、.DNS 主机 、 网 络 地 址 
范围 .网 络 位 置 、 网 络 地 址 分 配 机 构 信 息 、 系 统 提供 的 各 种 服务 和 网 络 安全 配置 等 。 

(2) 内 网 信息 。 内 网 信息 包括 内 部 网 络 协 议 .拓扑 结构 、 系 统 体系 结构 和 安全 配置 等 。 

一 次 攻击 的 成 功 与 前 期 的 目标 探测 关系 很 大 。 通 常 ,目标 探测 方法 可 以 分 为 以 下 三 类 。 

(1) 使 用 各 种 扫描 工具 对 攻击 目标 进行 大 规模 扫描 ,得 到 系统 信息 和 运行 时 的 服务 信 
息 。 这 涉及 一 些 扫描 工具 的 使 用 ,将 在 后 面 的 章节 中 介绍 。 

(2) 利用 第 三 方 资源 (如 常用 的 搜索 引擎 谷歌 .百度 等 ) 对 目标 进行 信息 收集 。 其 实 ， 
Google Hacking 在 国外 已 经 流行 很 入 了 。 攻 击 者 利用 谷歌 强大 的 搜索 功能 来 搜索 某 些 关 
键 词 ,找到 有 系统 漏洞 和 Web 漏洞 的 服务 器 ,并 将 其 打造 成 自己 的 “肉鸡 ”。 

(3) 利用 各 种 查询 手段 得 到 与 被 攻击 者 相关 的 一 些 信息 。 通 过 这 种 方式 得 到 的 信息 会 
被 社会 工程 学 这 种 入 侵 手 法 用 到 。 社 会 工程 学 (Social Engineering) 通 常 是 利用 大 众 疏 于 防 
范 的 心理 ,让 受害 者 掉 人 陷阱 。 该 技术 通常 采用 交谈 欺骗 .假冒 或 口语 用 字 等 方式 ,从 合法 
用 户 中 套 取 敏感 的 信息 ,如 用 户 名 单 、 用 户 密 码 及 网 络 结构 等 ,即使 很 小 心 的 人 ,也 有 可 能 被 
高 明 的 社会 工程 学 手段 侵害 。 网 络 安全 是 一 个 整体 ,对 某 个 目标 在 久 攻 不 下 的 情况 下 ,黑客 
会 把 矛头 指向 目标 的 系统 管理 员 ,因为 人 在 这 个 整体 中 往往 是 最 不 安全 的 因素 。 黑 客 通 过 
搜索 引擎 对 系统 管理 员 的 一 些 个 人 信息 进行 搜索 ,如 电子 邮件 地 址 .MSN QQ 等 关键 词 , 分 
析出 这 些 系 统管 理 员 的 个 人 爱好 , 常 去 的 网 站 ,论坛 等 ,然后 利用 掌握 的 信息 与 系统 管理 员 拉 
关系 套 近 乎 ,骗取 对 方 的 信任 ,使 其 一 步 步 落 入 黑客 设计 好 的 圈套 ,最 终 系统 被 人 侵 。 这 也 就 
是 常 说 的 “没有 绝对 的 安全 ,只 有 相对 的 安全 ; 只 有 时 刻 保持 警惕 ,才能 换 来 网 络 的 安宁 ”。 
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5.2.2 目标 探测 的 方法 


目标 探测 的 方法 和 手段 多 种 多 样 , 除 了 必要 的 技术 之 外 ,还 要 有 丰富 的 经 验 和 相应 的 
技巧 。 

1. 确定 目标 范围 

人 侵 一 个 目标 ,首先 要 确定 该 目标 的 网 络 地 址 分 布 和 网 络 分 布 范 围 及 位 置 ,通过 开放 的 
资源 进行 搜索 是 获得 该 信息 最 有 效 的 方法 ,因为 在 因特网 上 的 一 些 规模 巨大 的 数据 库 可 以 
方便 、 自 由 和 实时 地 提供 目标 网 络 的 信息 。 

例如 ,目标 网 络 中 有 一 个 域名 www. sina. com. cn, 通 过 该 域名 可 以 查看 提供 该 Web 服 
务 的 一 台 服 务 器 的 地 址 (一 个 大 型 网 站 通常 有 很 多 台 服 务 器 提供 同一 个 网 站 的 服务 )。 通 过 
Ping 命令 就 可 以 获取 其 中 一 台 服 务 器 的 IP 地 址 。 

C:\> ping www. sina. com. cn 

Pinging newstietong. sina. com. cn [211. 98. 132.93] with 32 bytes of data: 

Reply from 211.98.132.93: bytes = 32 time= 53ms TIL= 55 

屏幕 上 所 显示 的 211. 98. 132. 93 就 是 提供 www. sina. com. cn 服务 的 一 台 服 务 器 地 
址 。 但 这 种 方法 可 以 被 防火 墙 所 屏蔽 。 

另外 ,还 可 以 利用 Whois 查询 得 到 目标 主机 的 IP 地 址 分 配 、 机 构 地 址 位 置 和 接 人 服务 
商 等 重要 信息 。 

Whois 查询 就 是 查询 域名 和 IP 地 址 的 注册 信息 。 国 际 域名 由 设 在 美国 的 Internet 信 
息 管理 中 心 (InterNIC) 和 它 设 在 世界 各 地 的 认证 注册 商 管理 ,国内 域名 由 中 国 互 联网 络 信 
息 中 心 (CNNIC) 管 理 。 通 过 http: //www. allwhois. com 就 可 以 查询 到 目标 主机 的 相关 
信息 。 

随 着 Internet 的 迅猛 发 展 ,各 种 信息 呈现 爆炸 式 的 增长 ,用 户 要 在 信息 海洋 里 查找 信息 
就 像 大 海 捞 针 一 样 。 每 个 上 网 用 户 都 面临 着 信息 过 载 的 问题 ,无 法 准确 找到 所 需要 的 信息 。 
搜索 引擎 正 是 为 了 解决 这 个 问题 而 出 现 的 技术 。 现 在 通过 谷歌 .百度 等 搜索 引擎 可 以 获得 
大 多 数 需要 的 信息 。 也 就 是 说 ,通过 搜索 引擎 ,同样 可 以 获得 大 多 数目 标 主机 的 相关 信息 。 

当然 ,借助 于 一 些 软件 工具 ,也 可 以 获得 目标 网 络 的 相关 信息 ,如 Netscan、VisualRoute 
和 Traceroute 等 。 这 些 软件 的 主要 功能 是 快速 分 析 和 辨别 Internet 连接 的 来 源 , 标 示 某 个 
IP 地 址 的 地 理 位 置 ,目标 网 络 的 Whois 查询 ,提供 可 视 化 的 显示 。 图 5. 3 所 示 为 Visual 
Ronute 的 主 界面 。 

2. 分 析 目 标 网 络 路 由 

虽然 每 次 数据 包 从 某 个 出 发 点 到 达 同 一 目的 地 所 走 的 路 径 可 能 不 一 样 ,但 大 部 分 时 间 
是 相同 的 ,因此 了 解 信息 从 一 台 计 算 机 到 达 另 一 台 计 算 机 的 传播 路 径 是 非常 重要 的 。 如 果 
某 段 网 络 不 通 或 网 速 很 慢 , 可 以 利用 路 由 跟踪 找 出 故障 点 ,方便 维护 人 员 的 维护 工作 。 对 于 
攻击 者 来 说 ,这 是 个 很 有 用 的 功能 , 它 可 以 大 概 分 析出 目标 所 在 网 络 的 状况 。 

要 检测 数据 包 的 传播 路 径 有 很 多 种 工具 ,目前 最 常用 的 检测 工具 是 Traceroute。 该 工 
具 在 UNIX 系统 环境 中 的 命令 为 Traceroute ,在 Windows 中 的 命令 为 Tracert 。 在 Windows 中 
有 最 新 的 3d Traceroute, 如 图 5.4 所 示 , 可 以 通过 图 形 界面 的 形式 给 出 跟踪 的 结果 。 通 过 
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图 5.3 Visual Route 的 主 界面 


Traceroute 可 以 知道 信息 从 本 地 计算 机 到 Internet 另 一 端的 主机 走 的 是 什么 路 径 , 通 过 发 
送 小 的 数据 包 到 目标 设备 再 返回 来 测量 其 需要 多 长 时 间 。 一 条 路 径 上 的 每 个 设备 要 测试 3 
次 ,输出 结果 中 包括 每 次 测试 的 时 间 和 设备 的 名 称 及 其 IP 地 址 。 在 这 里 通过 Windows 中 
的 Tracert 来 介绍 路 由 跟踪 技术 。 
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图 5.4 Traceroute 的 主 界面 











1) Traceroute 工作 原理 

Traceroute 程序 的 设计 是 利用 ICMP 及 IP header 的 TTL 字段 。 首 先 ,Traceroute 送 
出 一 个 TTL 是 1 的 IP 报 文 , 当 路 径 上 的 第 一 个 路 由 器 收 到 这 个 数据 包 时 , 它 将 TTL 减 1。 
此 时 ,TTL 变 为 了 0, 所 以 该 路 由 器 会 将 此 数据 包 丢 掉 , 并 送 回 一 个 "ICMP time exceeded” 
消息 (包括 发 IP 包 的 源 地 址 、IP 包 的 所 有 内 容 及 路 由 器 的 IP 地 址 ), Traceroute 收 到 这 个 
消息 后 , 便 知 道 这 个 路 由 器 存在 于 这 个 路 径 上 ,接着 Traceroute 青 送出 男 一 个 TTL 是 2 的 
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数据 包 ,发 现 第 二 个 路 由 器 ……- Traceroute 通过 每 次 将 送出 的 数据 包 的 TTL 加 1 来 发 现 另 
一 个 路 由 器 ,这 个 重复 的 动作 一 直 持 续 到 某 个 数据 包 抵达 目的 地 。 当 数据 包 到 达 目 的 地 后 ， 
该 主机 并 不 会 送 回 ICMP time exceeded 消息 ,因为 它 已 是 目的 地 了 。 那 么 , Traceroute 是 
如 何 得 知 UDP 数据 包 已 到 达 目 的 地 了 呢 ? 

Traceroute 在 送出 UDP 数据 包 到 目的 地 时 , 它 所 选择 送 达 的 端口 号 是 一 般 应 用 程序 都 
不 会 用 的 一 个 号 码 (30 000 以 上 ) ,所 以 当 此 UDP 数据 包 到 达 目 的 地 后 ,该 主机 会 送 回 一 个 
“ICMP port unreachable” 的 消息 ,而 当 Traceroute 收 到 这 个 消息 时 , 便 知 道 目的 地 已 经 到 
达 了 。 所 以 ,Traceroute 在 Server 端 也 是 没有 所 谓 的 Daemon 程序 。 

Traceroute 提取 发 ICMP TTL 到 期 消息 设备 的 IP 地 址 并 做 域名 解析 。 每 次 ， 
Traceroute 都 打印 出 一 系列 数据 ,包括 所 经 过 的 路 由 设备 的 域名 及 IP 地 址 ,3 个 包 每 次 来 
回 所 需要 的 时 间 。 

Traceroute 有 一 个 固定 的 时 间 等 待 响应 (ICMP TTL 到 期 消息 )。 如 果 这 个 时 间 过 了 ， 
它 将 打印 出 一 系列 的 * 号 ,以 表明 在 这 个 路 径 上 该 设备 不 能 在 给 定 的 时 间 内 发 出 ICMP 
TTL 到 期 消息 的 响应 。 然 后 ,Traceroute 给 TTL 计数 器 加 1, 继 续 进 行 。 

在 大 多 数 情况 下 ,作为 网 络 工程 技术 人 员 或 系统 管理 员 会 在 UNIX 主机 系统 下 直接 执 
行 命令 行 : 

Traceroute hostname 
而 在 Windows 系统 下 是 执行 Tracert 命令 : 

Tracert hostname 


如 果 要 使 用 Windows NT 系统 中 的 Tracert 命令 ,用 户 可 通过 选择 “开始 ”一 “运行 ” 命 
令 , 在 打开 的 对 话 框 中 输入 cmd 调 出 命令 窗口 ,然后 使 用 此 命令 。 


C:\> tracert www. yahoo. com 
Tracing route to www. yahoo. com [204.71.200.75] over a maximum of 30 hops: 
1 161 ms 150 ms 160 ms 202.99.38.67 
2 151 ms 160 ms 160 ms 202.99.38.65 
3 151 ms 160 ms 150 ms 202.97.16.170 
4 151 ms 150 ms 150 ms 202.97.17.90 
5 151 ms 150 ms 150 ms 202.97.10.5 
6 151 ms 150 ms 150 ms 202.97.9.9 
7 761 ms 761 ms 752 ms border7 - serial3 - 0 - 0. Sacramento. cw.net [204.70.122.69] 
8 751 ms 751 ms * core2 - fddi - 0. Sacramento. cw.net [204.70.164.49] 
9 762 ms 771 ms 751 ms border8 - fddi - 0. Sacramento. cw. net [204.70.164.67] 
10 721 ms * 741 ms globalcenter. Sacramento. cw.net [204.70.123.6] 
11 x* 761 ms 751 ms pos4 — 2— 155M. cr2. SNV. globalcenter.net [206.132.150.237] 
12 771 ms * 771 ms posl - 0— 2488M. hr8. SNV. globalcenter.net [206.132.254.41] 
13 731 ms 741 ms 751 ms baslr- ge3 — 0 — hr8. snv. yahoo. com [208.178.103.62] 
14 781 ms 771 ms 781 ms www10. yahoo. com [204.71.200.75] 
Trace complete. 


2) 用 Traceroute 解决 问题 

Traceroute 最 早 是 由 Van Jacobson 在 1988 年 编写 的 小 程序 。 当 时 主要 是 为 解决 他 自 
己 碰 到 的 一 些 网 络 问 题 。Traceroute 是 一 个 正确 理解 IP 网 络 并 了 解 路 由 原理 的 重要 工具 。 
它 对 负责 网 络 工程 技术 与 系统 管理 的 Webmaster 来 说 是 一 个 十 分 方便 的 程序 。 
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可 以 使 用 Traceroute 确定 数据 包 在 网 络 上 的 停止 位 置 。 下 例 中 ,默认 网 关 确定 192. 
168. 10. 99 主机 没有 有 效 路 径 , 这 可 能 是 路 由 器 配置 的 问题 ,或 者 是 192. 168. 10. 0 网 络 不 
存在 (错误 的 IP 地 址 ) 。 


C:> Tracert 192.168.10.99 

Tracing route to 192.168.10.99 over a maximum of 30 hops 
1 10.0.0.1 reports: Destination net unreachable. 

Trace complete. 


Tracert 实用 程序 对 于 解决 大 网 络 问题 非常 有 用 ,可 以 采取 几 条 路 径 到 达 同 一 个 点 。 


5.3 扫描 的 概念 和 原理 


扫描 就 是 对 计算 机 系统 或 其 他 网 络 设备 进行 安全 相关 的 检测 ,以 找 出 安全 隐患 和 可 能 
被 黑客 利用 的 漏洞 。 例 如 ,可 以 通过 扫描 发 现 远 程 服务 器 各 种 TCP 端口 的 分 配 情况 、 提 供 
的 服务 和 它们 的 软件 版 本 ,从 而 间接 或 直观 地 了 解 远 程 主机 所 存在 的 安全 问题 。 通 过 扫描 ， 
能 对 扫描 对 象 的 脆弱 性 和 漏洞 进行 深入 了 解 ,从 而 为 扫描 时 发 现 的 问题 提供 一 个 良好 的 解 
决 方 案 。 对 于 黑客 来 说 ,扫描 是 信息 获取 的 重要 步骤 ,通过 网 络 扫描 可 以 进一步 定位 目标 或 
区 域 目 标 系 统 相 关 的 信息 ,同时 为 下 一 步 的 攻击 提供 充分 的 资料 ,从 而 大 大 提高 攻击 的 成 
功率 。 

扫描 技术 可 以 分 为 三 类 : 主机 扫描 、 端 口 扫描 和 漏洞 扫描 。 其 中 ,主机 扫描 能 够 发 现 系 
统 的 存活 情况 ,确定 在 目标 网 络 上 的 主机 是 否 可 达 , 同 时 尽 可 能 多 地 映射 目标 网 络 的 拓扑 结 
构 , 其 主要 利用 ICMP 数据 包 来 实现 ; 端口 扫描 用 于 发 现 远 程 主机 开放 的 端口 ,也 就 是 发 现 
哪些 服务 在 运行 ; 漏洞 扫描 能 够 发 现 和 了 解 网 络 上 潜在 的 脆弱 性 ,以 便 采取 措施 ,避免 遭受 
不 必要 的 攻击 。 


5.3.1 主机 扫描 


主机 扫描 分 为 简单 主机 扫描 和 复杂 主机 扫描 。 传 统 的 主机 扫描 是 利用 ICMP 的 请 求 / 
应 答 报 文 ,主要 有 以 下 3 种。 

(1) 通过 发 送 一 个 ICMP Echo Request 数据 包 到 目标 主机 ,如 果 接 收 到 ICMP Echo 
Reply 数据 包 , 说 明 主 机 是 存活 状态 ; 如 果 没 有 收 到 ,就 可 以 初步 判断 主机 没有 在 线 或 使 用 
了 某 些 过 滤 设 备 过 滤 了 该 消息 。 

(2) 使 用 ICMP Echo Request 轮 询 多 个 主机 称 为 Ping 扫描 。 对 于 中 型 网 络 ,使 用 这 种 
方法 来 探测 主机 是 一 种 比较 好 的 方式 ,但 对 大 型 网 络 ,这 种 方法 会 比较 慢 , 因 为 Ping 在 处 理 
下 一 个 命令 之 前 会 等 待 正在 探测 主机 的 回应 。 

(3) 广播 ICMP 扫描 , 即 通过 发 送 ICMP Echo Request 到 广播 地 址 或 目标 网 络 地 址 可 
以 简单 地 反映 目标 网 络 中 活动 的 主机 ,这 样 的 请 求 会 广播 到 目标 网 络 中 的 所 有 主机 ,所 有 活 
动 的 主机 都 会 发 送 ICMP Echo Reply 到 攻击 者 的 IP 地 址 。 

这 3 种 方法 的 缺点 是 会 在 目标 主机 的 DNS 服务 器 中 留 下 攻击 者 的 日 志 记录 。 

利用 被 探测 主机 产生 的 ICMP 错误 报 文 可 以 进行 复杂 的 主机 扫描 ,主要 有 以 下 几 种 方式 。 
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(1) 异常 的 I 包头 。 向 目标 主机 发 送 包 头 错误 的 IP 包 ,目标 主机 或 过 滤 设 备 会 反馈 
ICMP Parameter Problem Error 信息 。 常 见 的 伪造 错误 字段 为 Header Length 和 IP Options。 
(2) IP 头 中 设置 无 效 的 字段 值 。 向 目标 主机 发 送 的 IP 包 中 填充 错误 的 字段 值 ,如 协议 
项 填 一 个 没有 使 用 的 超大 值 ,目标 主机 或 过 滤 设 备 会 反馈 ICMP Destination Unreachable 
自 


(3) 错误 的 数据 分 片 。 当 目标 主机 接收 到 错误 的 数据 分 片 , 并 且 在 规定 的 时 间 间 隔 内 
得 不 到 更 正 时 ,将 丢弃 这 些 错 误 数据 包 , 并 向 发 送 主 机 反馈 ICMP Fragment Reassembly 
Time Exceeded 错误 报 文 。 

(4) 反 向 映射 探测 。 用 于 探测 被 过 滤 设 备 或 防火 墙 保护 的 网 络 和 主机 。 构 造 可 能 的 内 
部 IP 地 址 列表 ,并 向 这 些 地 址 发 送 数据 包 。 当 对 方 路 由 器 接收 到 这 些 数据 包 时 ,会 进行 IP 
识别 并 路 由 ,对 不 在 其 服务 范围 的 IP 包 发 送 ICMP Host Unreachable 或 ICMP Time 
Exceed 错误 报 文 ,没有 接收 到 相应 错误 报 文 的 IP 地 址 被 认为 在 该 网 络 中 。 

对 主机 扫描 的 工具 非常 多 ,如 著名 的 Nmap、Netcat 和 Superscan 等 。 

主机 扫描 大 多 使 用 ICMP 数据 包 , 因 此 使 用 可 以 检测 并 记录 ICMP 扫描 的 工具 ,使 用 入 
侵 检 测 系统 ,在 防火 墙 或 路 由 器 中 设置 允许 进出 自己 网 络 的 ICMP 分 组 类 型 等 方法 都 可 以 
有 效 地 防止 主机 扫描 的 发 生 。 


5.3.2 端口 扫描 


端口 扫描 的 直接 结果 就 是 可 以 得 到 目标 主机 开放 和 关闭 的 端口 列表 。 这 些 开放 的 端口 
往往 与 某 些 服务 相对 应 。 通 过 这 些 开放 的 端口 ,黑客 就 能 了 解 主机 运行 的 服务 类 型 ,从 而 进 
一 步 整 理 和 分 析 这 些 服 务 可 能 存在 的 漏洞 ,为 后 续 的 攻击 提供 依据 。 端 口 扫描 是 建立 在 
TCP/IP 基础 之 上 的 。 在 TCP/IP 的 实现 中 ,一 般 遵 循 以 下 原则 。 

(1) 当 一 个 SYN 或 FIN 数据 包 到 达 一 个 关闭 的 端口 时 ,TCP 丢弃 数据 包 , 同 时 发 送 一 
个 RST 数据 包 。 

(2) 当 一 个 SYN 数据 包 到 达 一 个 监听 端口 时 ,正常 的 三 阶段 握手 继续 ,回答 一 个 SYN| 
ACK 数据 包 。 

(3) 当 一 个 SYN|ACK 或 FIN 数据 包 到 达 一 个 监听 端口 时 ,数据 包 被 丢弃 。 

(4) 当 一 个 SYN|ACK 或 FIN 数据 包 到 达 一 个 关闭 端口 时 ,数据 包 被 丢弃 ,并 返回 一 
个 RST 数据 包 。 

(5) 当 一 个 包含 ACK 的 数据 包 到 达 一 个 监听 或 关闭 的 端口 时 ,数据 包 被 丢弃 ,同时 发 
送 一 个 RST 数据 包 。 

(6) 当 一 个 SYN 位 关闭 的 数据 包 到 达 一 个 监听 端口 时 ,数据 包 被 丢弃 。 

基于 上 述 的 TCP/IP, 常 用 的 端口 扫描 方法 主要 有 TCP Connect 扫描 、TCP SYN 扫描 、 
TCP FIN 扫描 和 TCP NULL 扫描 等 。 

1. 常用 的 端口 扫描 技术 

1) TCP Connect 扫描 

TCP Connect 扫描 是 最 为 简单 的 端口 扫描 方式 ,本 地 主机 通过 调用 Connect 函数 连接 
目标 主机 的 特定 端口 ,如 果 成 功 建立 连接 , 则 说 明 这 个 端口 是 打开 的 ; 否则 ,说 明 该 端口 是 
关闭 的 。 因 为 该 扫描 需要 建立 一 个 完整 的 端口 连接 ,所 以 该 扫描 也 称 为 全 连接 扫描 。 
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该 方法 最 大 的 优点 是 不 需要 任何 权限 ,系统 中 的 任何 用 户 都 可 以 使 用 这 个 调用 。 该 方 
法 的 另 一 个 优点 是 速度 比较 快 。 该 方法 最 大 的 缺点 是 容易 被 察觉 ,因为 它 会 在 目标 计算 机 
的 日 志文 件 中 留 下 一 串 连接 的 消息 。 

2) TCP SYN 扫描 

扫描 器 向 目标 主机 的 选择 端口 发 送 SYN 置 1 的 数据 包 , 如 果 应 答 是 RST 置 1 的 数据 
包 , 则 说 明 端 口 是 关 闭 的 ,如 图 5. 5 所 示 。 如 果 应 答 是 SYN 和 ACK 置 1 的 数据 包 , 则 说 明 
目标 处 于 监听 状态 ,再 传送 一 个 RST 包 给 目标 机 ,停止 建立 连接 ,如 图 5. 6 所 示 。 由 于 在 
TCP SYN 扫描 时 全 连接 尚未 建立 ,因此 这 种 技术 通常 称 为 半 打 开 扫描 。 
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服务 器 
图 5.5 目标 端口 关闭 时 TCP SYN 扫描 的 步骤 
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服务 
图 5.6 目标 端口 打开 时 TCP SYN 扫描 的 步骤 


TCP SYN 扫描 的 优点 是 隐蔽 性 比 全 连接 扫描 好 ,因为 很 少 有 系统 会 记录 这 样 的 行为 。 
另外 , 它 的 扫描 结果 也 是 相当 准确 的 ,并 能 达到 很 快 的 速度 。 该 方法 的 缺点 是 通常 构造 
SYN 数据 包 需 要 超级 用 户 或 授权 用 户 访 问 专 门 的 系统 调用 。SYN 洪 泛 是 一 种 常见 的 拒绝 
服务 攻击 方法 ,许多 防火 墙 和 入 侵 检 测 系统 对 SYN 包 都 建立 了 报警 和 过 滤 机 制 ,因此 SYN 
扫描 的 隐 项 性 逐渐 下 降 。 

3) TCP FIN 扫描 

TCP FIN 扫描 是 利用 操作 系统 协议 栈 实现 上 的 不 同 来 达到 扫描 的 目的 。 客 户 机 向 目 
标 端口 发 送 一 个 带 FIN 标志 的 数据 包 , 如 果 目 标 端 口 是 开 放 的 , 它 就 会 忽略 这 个 数据 包 ; 如 
果 目 标 端 口 关闭 了 ,目标 主机 会 向 本 地 主机 回应 一 个 RST 数据 包 , 如 图 5.7 所 示 。 利 用 这 
点 差异 就 可 以 判断 目标 主机 是 否 开放 了 某 个 端口 。FIN 扫描 只 对 UNIX/Linux 系统 有 效 。 
FIN 扫描 的 优点 是 比 TCP SYN 扫描 更 为 隐蔽 ,能 够 通过 只 检测 SYN 包 的 防火 墙 或 人 侵 检 
测 系统 。 它 的 缺点 是 因 其 是 反 向 确定 结果 ,如 果 网 络 的 传输 收 不 到 返回 包 就 会 导致 错误 判 
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图 5.7 目标 端口 关闭 时 TCP FIN 扫描 的 步骤 
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断 , 扫 描 结果 不 是 很 可 靠 。 

4) TCP Xmas 扫描 

根据 RFC793 规定 ,当主 机 收 到 一 个 带 FIN、URG 和 PSH 标志 的 TCP 数据 包 时 ,如 果 
其 对 应 的 端口 开放 , 则 会 忽略 这 个 数据 包 ; 如 果 其 对 应 的 端口 关闭 ,主机 会 返回 一 个 RST 
包 作为 响应 。 利 用 这 种 差异 就 可 以 判断 目标 端口 是 否 开放 ,如 图 5. 8 所 示 。 


第 一 步 : 客户 机 发 送 所 有 标志 位 为 1 的 
中 TCP 包 给 服务 器 
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服务 器 
图 5.8 目标 端口 关闭 时 TCP Xmas 扫描 的 步骤 


这 种 扫描 技术 的 优点 是 扫描 活动 比较 隐蔽 ; 不 足 之 处 是 效率 不 高 ,需要 等 待 超时 ,而 且 
这 里 涉及 数据 包 的 构造 与 发 送 ,所 以 需要 管理 员 权 限 才 能 操作 。 

5) TCP NULL 扫描 

与 TCP Xmas 扫描 相反 ,TCP NULL 扫描 将 TCP 包 中 的 所 有 标志 位 都 置 0。 当 这 个 
数据 包 被 发 送 到 主机 时 ,如 果 目 标 端口 是 开放 的 , 则 不 会 返回 任何 数据 包 ; 如 果 目 标 端口 是 
关闭 的 ,被 扫描 主机 将 发 回 一 个 RST 包 , 如 图 5. 9 所 示 。 不 同 的 操作 系统 会 有 不 同 的 响应 
方式 。 
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服务 器 
图 5.9 目标 端口 关闭 时 TCP NULL 扫描 的 步骤 


这 种 扫描 技术 的 优点 也 是 比较 隐蔽 ; 不 足 之 处 与 前 一 种 扫描 技术 一 样 ,需要 等 待 超时 ， 
所 以 效率 不 高 。 此 外 ,不 同 操 作 系 统 的 扫描 有 差别 ,不 能 适用 于 所 有 的 操作 系统 ,而 且 仍 然 
需要 管理 员 权 限 才能 操作 。 

6) UDP 扫描 

UDP 扫描 利用 UDP 向 目标 端口 发 送 一 个 UDP 包 , 开 放 的 UDP 端口 并 不 需要 送 回 
ACK 包 , 而 关闭 的 端口 会 送 回 一 个 ICMP_PROT_UNREACH 的 包 , 用 于 说 明 端口 关闭 。 

UDP 扫描 并 不 可 靠 ,主要 原因 有 以 下 几 点 。 

J@ 目标 主机 可 以 禁止 任何 UDP 包 通 过 。 

@ UDP 本 身 不 是 可 靠 的 传输 协议 ,数据 传输 的 完整 性 不 能 得 到 保证 。 

@ 系统 在 协议 栈 的 实现 上 有 差异 ,对 一 个 关闭 的 UDP 端口 ,可 能 不 会 返回 任何 信息 ， 
而 只 是 简单 地 丢弃 。 

7) FTP 返回 扫描 

FTP 返回 扫描 是 利用 FTP 支持 代理 FTP 连接 这 个 特点 来 实现 的 。 本 地 主机 首先 与 
FTP 服务 器 建立 连接 ,然后 通过 PORT 命令 向 FTP 服务 器 传输 目标 主机 的 地 址 和 端口 ,最 
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后 发 送 LIST 命令 。 如 果 目 标 主机 相应 的 端口 已 打开 ,就 会 返回 成 功 的 消息 ; 如 果 目 标 端 
口 关闭 , 则 返回 连接 失败 的 消息 。FTP 返回 扫描 示意 图 如 图 5. 10 所 示 。 


4 
9 























图 5.10 FTP 返回 扫描 示意 图 


这 种 扫描 的 优点 很 明显 ,很 难 跟踪 ,而 且 能 有 效 穿 透 防火 墙 。 缺点 是 速度 较 慢 ,而 且 需 
要 一 台 FTP 服务 器 做 代理 ,现在 提供 这 种 功能 的 服务 器 较 少 。 

2. 防止 端口 扫描 

对 抗 端口 扫描 的 对 策 主要 有 以 下 两 种 方法 。 

1) 关闭 闲置 和 有 潜在 危险 的 端口 

除 正 常 使 用 的 计算 机 端口 外 (如 HTTP 的 80 端口 ,FTP 的 21 端口 ,QQ 的 4000 端口 
等 ) ,将 所 有 其 他 端口 都 关闭 。 因 为 对 黑客 来 说 ,所 有 端口 都 可 能 成 为 攻击 的 目标 。 

在 Windows NT 为 核心 的 操作 系统 中 ,要 关闭 闲置 端口 还 是 比较 方便 的 ,可 以 采用 “ 定 
向 关闭 指定 服务 的 端口 "和 “只 开放 允许 端口 的 方式 ”。 计 算 机 的 一 些 网 络 服务 会 由 系统 分 
配 默 认 的 端口 ,将 一 些 限制 的 服务 关闭 掉 ,其 对 应 的 端口 也 关闭 了 。 打 开 “ 控 制 面板 ”>“ 管 
理工 具 ”>“ 服 务 ” 选 项 ,关闭 一 些 没 有 使 用 的 服务 ,它们 对 应 的 端口 也 就 关闭 了 。 至 于 “只 开 
放 允 许 端 口 的 方式 ”, 可 以 利用 系统 的 TCP/IP 筛选 功能 实现 ,设置 的 时 候 只 允许 系统 中 一 
些 基 本 网 络 通信 需要 的 端口 即 可 。 在 UNIX/Linux 系统 中 ,在 /etc/inetd. conf 中 注释 掉 不 
必要 的 服务 ,并 在 系统 启动 脚本 中 禁止 其 他 不 必要 的 服务 。 

2) 利用 网 络 防火 墙 软件 

对 抗 端 口 扫描 最 好 的 方法 是 使 用 防火 墙 软件 , 当 攻击 者 进行 端口 扫描 时 ,攻击 者 会 不 断 
与 目标 计算 机 尝试 建立 连接 ,可 以 通过 防火 墙 自 带 的 拦截 规则 进行 判断 , 当 发 现 有 端口 扫描 
症状 时 ,通过 防火 墙 可 以 立即 屏蔽 该 端口 , 即 通过 设置 防火 墙 的 过 滤 规则 ,可 以 有 效 阻止 对 
端口 的 扫描 。 例 如 ,可 以 设置 检测 SYN 扫描 而 忽略 FIN 扫描 。 另 外 ,借助 入 侵 检测 系统 ， 
禁止 所 有 不 必要 的 服务 ,把 自己 的 机 器 暴露 程度 降 到 最 低 也 是 一 种 很 好 的 方法 。 


5.3.3 漏洞 扫描 


漏洞 扫描 是 对 目标 网 络 或 目标 主机 进行 安全 漏洞 检测 与 分 析 , 发现 可 能 被 攻击 者 利用 
的 漏洞 。 当 前 的 漏洞 扫描 技术 主要 是 基于 特征 匹配 原理 ,漏洞 扫描 器 通过 检测 目标 主机 不 
同 端口 开放 的 服务 ,记录 其 应 答 , 然 后 与 漏洞 库 进 行 比 较 , 如 果 满 足 匹配 条 件 , 则 认为 存在 安 
全 漏洞 。 漏 洞 扫描 技术 中 ,漏洞 库 的 定义 精确 与 否 直 接 影响 最 后 的 扫描 结果 。 

目前 ,漏洞 扫描 器 主要 分 为 两 类 , 即 通用 漏洞 扫描 器 和 专用 漏洞 扫描 器 。 它 们 各 自 的 侧 
重点 不 同 。 通 用 漏洞 扫描 器 侧重 扫描 主机 的 整体 安全 ,适用 于 攻击 及 本 机 防护 ; 专用 漏洞 
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扫描 器 侧重 主机 的 某 一 特定 漏洞 ,主要 用 于 漏洞 攻击 。 

通用 漏洞 扫描 器 一 般 由 控制 台 模块 、 扫 描 活动 处 理 模 块 、 扫 描 引 擎 模块 .结果 处 理 模 块 
和 漏洞 库 组 成 。 而 专用 漏洞 扫描 器 相对 于 通用 漏洞 扫描 器 来 说 要 简单 一 些 , 可 以 说 是 一 种 
简化 了 的 通用 漏洞 扫描 器 。 专 用 漏洞 扫描 器 不 用 考虑 多 个 漏洞 ,只 需 检测 某 个 特定 的 漏洞 ， 
并 发 线程 减少 ,检测 效率 提高 了 很 多 。 

目前 常用 的 漏洞 扫描 工具 主要 有 Nmap、X-Scan、SuperScan、Shadow Security Scanner 
和 MS06040Scanner 等 。 感 兴趣 的 读者 可 以 通过 网 络 信 息 进一步 了 解 漏 洞 扫描 工具 。 


5.4 网 络 监 听 


网 络 监听 技术 是 提供 给 网 络 安全 管理 人 员 进 行 网 络 管理 的 工具 ,可 以 用 来 监视 网 络 状 
态 、 数 据 流 动情 况 及 网 络 上 传输 的 信息 等 。 当 信息 以 明文 的 形式 在 网 络 上 传输 时 ,只 要 将 网 
卡 设置 成 混杂 模式 , 便 可 以 源源 不 断 地 截获 网 络 上 传输 的 信息 。 然 而 ,黑客 也 会 利用 网 络 监 
听 技 术 对 其 他 用 户 进行 攻击 ,黑客 可 以 利用 网 络 监听 截取 口令 , 当 黑 客 控制 一 台 主 机 后 ,如 
果 想 通过 这 台 主 机 控制 其 所 在 的 整个 局 域 网 ,网 络 监 听 往 往 是 他 们 的 最 佳 选择 。 


5.4.1 网 络 监听 原理 


在 因特网 上 有 很 多 使 用 以 太 网 (Ethernet) 协 议 的 局 域 网 ,许多 主机 通过 电线、 集线器 连 
在 一 起 。 在 协议 的 高 层 或 从 用 户 的 角度 来 看 , 当 同 一 网 络 中 的 两 台 主 机 通信 时 , 源 主机 将 写 
有 目标 主机 地 址 的 数据 包 发 向 目标 主机 ,或 者 当 网 络 中 的 一 台 主机 同 外 部 的 主机 通信 时 , 源 
主机 将 写 有 目标 主机 IP 地 址 的 数据 包 发 向 网 关 。 

但 这 种 数据 包 并 不 能 在 协议 栈 的 高 层 直接 发 出 去 ,要 发 送 的 数据 必须 从 TCP/IP 的 IP 
层 交 给 网 络 接口 ,而 网 络 接口 是 不 会 识别 IP 地 址 的 ,因此 网 络 接口 中 由 IP 层 传 来 的 带 有 IP 
地 址 的 数据 包 又 增加 了 一 部 分 以 太 帧 帧 头 的 信息 。 在 帧 头 中 ,有 两 个 域 分 别 为 只 有 网 络 接 
口才 能 识别 的 源 主机 和 目标 主机 的 物理 地 址 。 这 是 一 个 与 IP 地 址 对 应 的 48 位 地 址 。 

下 面 用 一 个 常见 的 UNIX 系统 命令 ifconfig 来 看 一 看 作者 本 人 的 一 台 正 常 工作 的 计算 
机 的 网 卡 : 

[yiming@ server/root]# ifconfig -a 

hme0: flags = 863 < UP, BROADCAST, NOTRAILERS, RUNNING, MULTICAST> mtu 1500 
inet 192.168.1.35 netmask ffffffe0 
ether 8: 0: 20: c8: fe: 15 

从 这 个 命令 的 输出 中 可 以 看 到 上 面 讲 到 的 这 些 概 念 ,如 第 二 行 的 192. 168. 1. 35 是 IP 
地 址 ,第 三 行 的 8: 0: 20: c8: fe: 15 是 MAC 地 址 。 请 注意 第 一 行 的 BROADCAST 和 
MULTICAST, 这 是 什么 意思 ? 一 般 而 言 ,网 卡 有 几 种 接收 数据 帧 的 状态 ,如 Unicast、 
Broadcast、Multicast 和 Promiscuous 等 。Unicast 是 指 网 卡 在 工作 时 的 接收 目的 地 址 是 本 
机 硬件 地 址 的 数据 帧 ; Broadcast 是 指 接收 所 有 类 型 为 广播 报 文 的 数据 帧 ; Multicast 是 指 
接收 特定 的 组 播报 文 ; Promiscuous 则 是 通常 所 说 的 混杂 模式 ,是 指 对 报 文中 的 目的 硬件 地 
址 不 加 任何 检查 而 全 部 接收 的 工作 模式 。 对 照 这 几 个 概念 ,看 看 上 面 的 命令 输出 ,可 以 看 
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到 ,正常 的 网 卡 应 该 只 接收 发 往 自 身 的 数据 报 文 、 广 播 和 组 播报 文 。 

对 网 络 使 用 者 来 说 ,浏览 网 页 收发 邮件 等 都 是 很 平常 ,很 简单 的 工作 ,其 实在 后 台 这 些 
工作 是 依靠 TCP/IP 协议 簇 实现 的 。 下 面 从 TCP/IP 模型 的 角度 来 看 数据 包 在 局 域 网 内 发 
送 的 过 程 : 当 数 据 从 应 用 层 自 上 而 下 传递 时 ,在 网 络 层 形成 IP 数据 包 , 再 向 下 到 达 数 据 链 
路 层 ,由 数据 链 路 层 将 IP 数据 包 分 割 为 数据 帧 ,增加 以 太 网 包头 ,再 向 下 一 层 发 送 。 需 要 注 
意 的 是 ,以 太 网 的 包头 中 包含 着 本 机 和 目标 设备 的 MAC 地 址 , 即 链 路 层 的 数据 帧 发 送 时 ， 
是 依靠 48 位 的 以 太 网 地 址 而 非 IP 地 址 来 确认 的 ,以 太 网 的 网 卡 设备 驱动 程序 不 会 关心 IP 
数据 包 中 的 目的 IP 地 址 , 它 所 需要 的 仅仅 是 MAC 地 址 。 

目标 IP 的 MAC 地 址 又 是 如 何 获得 的 呢 ? 发 送 端 主机 会 向 以 太 网 上 的 每 一 台 主 机 
发 送 一 份 包含 目的 地 的 地 址 的 以 太 网 数据 帧 ( 称 为 ARP 数据 包 ) ,并 期 望 目 的 主机 回 
复 , 从 而 得 到 目的 主机 对 应 的 MAC 地址 ,并 将 这 个 MAC 地 址 存 入 自己 的 一 个 ARP 组 
存 中 。 

当局 域 网 内 的 主机 都 通过 集线器 等 方式 连接 时 ,一 般 称 为 共享 式 的 连接 。 这 种 共享 式 
的 连接 有 一 个 很 明显 的 特点 : 集线器 会 将 接收 到 的 所 有 数据 向 集线器 上 的 每 个 端口 转发 ， 
也 就 是 说 ,当主 机 根据 MAC 地 址 进行 数据 包 发 送 时 ,尽管 发 送 端 主 机 告知 了 目标 主机 的 地 
址 ,但 这 并 不 意味 着 在 一 个 网 络 内 的 其 他 主机 听 不 到 发 送 端 和 接收 端 之 间 的 通信 ,只 是 在 正 
常 状况 下 其 他 主机 会 忽略 这 些 通信 报 文 而 已 。 如 果 这 些 主机 不 愿意 忽略 这 些 报 文 ,网 卡 被 
设置 为 Promiscuous 状态 ,那么 对 于 这 台 主 机 的 网 络 接 口 而 言 , 任 何在 这 个 局 域 网 内 传输 的 
信息 都 是 可 以 被 监听 的 。 


5.4.2 网 络 监听 检测 与 防范 


一 般 来 说 ,网 络 监听 是 很 难 被 发 现 的 ,因为 运行 网 络 监 听 的 主机 只 是 被 动 地 接收 在 局 域 
网 上 传输 的 信息 ,不 会 主动 与 其 他 主机 交换 信息 ,这 就 导致 检测 与 防范 网 络 监 听 是 比较 困 
难 的 。 

1. 网 络 监听 检测 

1) 反应 时 间 

向 怀疑 有 网 络 监听 行为 的 网 络 发 送 大 量 垃圾 数据 包 , 根 据 各 个 主机 回应 的 情况 进行 判 
断 , 正 常 的 系统 回应 的 时 间 应 该 没有 太 明 显 的 变化 ,而 处 于 混杂 模式 的 系统 由 于 对 大 量 的 垃 
圾 信息 照 单 全 收 ,因此 很 有 可 能 回应 时 间 会 发 生 较 大 的 变化 。 

2) 观测 DNS 

许多 的 网 络 监听 软件 都 会 尝试 进行 地 址 反 向 解析 ,在 怀疑 有 网 络 监 听 发 生 时 可 以 在 
DNS 系统 上 观测 有 没有 明显 增多 的 解析 请 求 。 

3) 利用 ping 模式 进行 监测 

当 一 台 主 机 进入 混杂 模式 时 ,以 太 网 的 网 卡 会 将 所 有 不 属于 它 的 数据 照 单 全 收 。 按 照 
这 个 思路 ,可 以 这 样 来 操作 : 假设 所 怀疑 的 主机 的 硬件 地 址 是 00: 30: 6E: 00: 9B: B9 ,其 
IP 地 址 是 192. 168. 1. 1; 伪造 出 这 样 的 一 种 icmp 数据 包 , 即 硬件 地 址 是 不 与 局 域 网 内 任何 
一 台 主 机 相同 的 00: 30: 6E: 00: 9B: B9, 而 目的 地 址 是 192. 168. 1. 1 不 变 。 可 以 设想 ,这 
种 数据 包 在 局 域 网 内 传输 会 发 生 以 下 现象 : 任何 正常 的 主机 会 检查 这 个 数据 包 , 比 较 数据 
包 的 硬件 地 址 ,如 果 地 址 与 自己 的 不 同 ,就 不 会 理会 这 个 数据 包 ; 而 处 于 网 络 监 听 模 式 的 主 
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机 , 则 由 于 其 网 卡 现在 是 在 混杂 模式 ,因此 它 不 会 去 对 比 这 个 数据 包 的 硬件 地 址 ,而 是 将 这 
个 数据 包 直接 传 到 上 层 , 上 层 检 查 数据 包 的 IP 地 址 ,如 果 符合 自己 的 IP, 就 会 对 这 个 ping 
的 包 作出 回应 。 这 样 ,一 台 处 于 网 络 监听 模式 的 主机 即 被 发 现 。 

4) 利用 ARP 数据 包 进行 监测 

除了 使 用 ping 进行 检测 外 ,目前 比较 成 熟 的 是 利用 ARP 数据 包 进 行 检测 。 这 种 模 
式 是 上 述 ping 方式 的 一 种 变 体 。 它 使 用 ARP 数据 包 蔡 代 上 述 的 icmp 数据 包 , 向 局 域 网 
内 的 主机 发 送 非 广播 方式 的 ARP 包 , 如 果 局 域 网 内 的 某 个 主机 响应 了 这 个 ARP 请 求 , 那 
么 就 可 以 判断 它 很 可 能 就 是 处 于 网 络 监听 模式 了 。 这 是 目前 相对 而 言 比较 好 的 检测 
模式 。 

值得 注意 的 是 ,现在 因特网 上 流传 着 一 些 基 于 上 面 这 两 种 技术 的 脚本 和 程序 ,它们 宣称 
能 准确 捕 提 到 局 域 网 内 所 有 进行 网 络 监 听 的 主机 。 目 前 来 讲 ,这 种 说 法 基本 上 是 不 可 靠 的 ， 
因为 上 述 技术 在 实现 中 ,除了 要 考虑 网 卡 的 硬件 过 滤 外 ,还 需要 考虑 不 同 操作 系统 可 能 产生 
的 软件 过 滤 。 虽 然 理 论 上 网 卡 处 于 混杂 模式 的 系统 应 该 接收 所 有 的 数据 包 , 但 实际 上 不 同 
的 操作 系统 甚至 相同 的 操作 系统 的 不 同 版 本 在 TCP/IP 的 实现 上 都 有 自己 的 一 些 特 点 ,有 
可 能 不 会 接收 这 些 理论 上 应 该 接收 的 数据 包 。 

相对 而 言 , 对 发 生 在 本 机 的 网 络 监 听 是 可 以 利用 一 些 工具 软件 来 发 现 的 ,有 兴趣 的 读者 
可 以 参考 相关 的 网 站 。 

2. 网 络 监听 的 防范 方法 

首先 ,采用 加 密 手 段 进行 信息 传输 是 一 个 很 好 的 办 法 ,如 果 监 听 到 的 数据 都 是 以 密 文 形 
式 传输 的 ,那么 对 入 侵 者 来 说 ,即使 抓 取 到 了 传输 的 数据 信息 ,意义 也 不 大 。 这 是 目前 相对 
而 言 使 用 较 多 的 手段 之 一 ,在 实际 应 用 中 往往 是 指 替换 掉 不 安全 的 采用 明文 传输 数据 的 服 
务 , 如 在 服务 器 端 用 SSH OpenSSH 等 替换 UNIX 系统 自 带 的 Telnet、FTP、RSH ,在 Client 
端 使 用 Securecrt、SSHtransfer 替代 Telnet、FTP 等 。 

目前 ,除了 加 密 外 ,使 用 交换 机 也 是 一 个 应 用 比较 多 的 方式 。 不 同 于 工作 在 第 一 层 的 集 
线 器 ,交换 机 是 工作 在 第 二 层 , 也 就 是 数据 链 路 层 。 以 Cisco 的 交换 机 为 例 ,交换 机 在 工作 
时 维护 着 一 张 ARP 数据 库 , 其 中 记录 着 交换 机 每 个 端口 所 绑 定 的 MAC 地 址 , 当 有 数据 包 
发 送 到 交换 机 上 时 ,交换 机 会 将 数据 包 的 目的 MAC 地 址 与 自己 维护 的 数据 库 内 的 端口 进 
行 对 照 ,然后 将 数据 包 发 送 到 “相应 的 ”" 端 口上。 注意 ,不 同 于 集线器 的 报 文 广播 方式 ,交换 
机 转发 的 报 文 是 一 一 对 应 的 。 对 二 层 设备 而 言 , 仅 有 两 种 情况 会 发 送 广播 报 文 ,一 是 数据 包 
的 目的 MAC 地址 不 在 交换 机 维护 的 数据 库 中 ,此 时 报 文 向 所 有 端口 转发 ; 二 是 报 文本 身 
就 是 广播 报 文 。 由 此 可 以 看 到 ,这 在 很 大 程度 上 解决 了 网 络 监听 的 困扰 。 随 着 Dsniff、 
Ettercap 等 软件 的 出 现 ,交换 机 的 安全 性 已 经 面临 着 严峻 的 考验 。 

此 外 ,对 安全 性 要 求 比较 高 的 公司 可 以 考虑 Kerberos。Kerberos 是 一 种 为 网 络 通信 提 
供 可 信 第 三 方 服务 的 面向 开放 系统 的 认证 机 制 。 它 提供 了 一 种 强加 密 机 制 , 使 Client 端 和 
Server 端 即 使 在 非 安全 的 网 络 连接 环境 中 也 能 确认 彼此 的 身份 ,而 且 在 双方 通过 身份 认证 
后 ,后 续 的 所 有 通信 也 是 被 加 密 的 。 在 实现 中 ,通过 可 信 的 第 三 方 服务 器 保留 与 之 通信 的 系 
统 的 密 钥 数据 库 , 仅 Kerberos 和 与 之 通信 的 系统 本 身 拥有 私 钥 (Private Key) ,然后 通过 私 
钥 及 认证 时 创建 的 Session Key 来 实现 可 信 的 网 络 通信 连接 。 
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5.5 缓冲 区 溢出 攻击 


5.5.1 缓冲 区 溢出 原理 


缓冲 区 (Buffer) 是 程序 运行 期 间 在 内 存 中 分 配 的 连续 空间 ,用 于 保存 包括 字符 数组 在 
内 的 各 种 数据 类 型 。 溢 出 是 所 填充 的 数据 超出 了 原 有 缓冲 区 的 边界 ,并 非法 占据 了 另 一 端 
内 存 区 域 。 缓 冲 区 溢出 是 指 由 于 填充 数据 越界 而 导致 程序 运行 流程 的 改变 ,黑客 借 此 精心 
构造 填充 数据 ,让 程序 转 而 执行 特殊 的 代码 ,最终 获 得 系统 的 控制 权 。 

通过 向 程序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ， 
使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 
检查 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 

void function(char * str) 

{ 

char buffer[16]; 


strcpy(buffer, str); 
} 


上 面 的 strcpy() 直 接 把 str 中 的 内 容 复 制 到 缓冲 区 中 。 这 样 ,只 要 str 的 长 度 大 于 16， 
就 会 造成 缓冲 区 的 溢出 ,使 程序 运行 出 错 。 存 在 像 strcpy 这 样 问题 的 标准 函数 还 有 strcat()、 
sprintf() ,vsprintf() ,gets() 和 scanf() 等 。 

当 缓 冲 区 溢出 时 ,为 什么 会 导致 程序 不 能 正常 工作 呢 ? 因为 一 个 程序 在 内 存 中 是 按 代 
码 区 .数据 区 和 堆栈 区 顺序 存放 的 。 其 中 ,代码 区 存放 程序 的 机 器 码 和 只 读数 据 ; 数据 区 存 
放 程 序 中 的 静态 数据 和 全 局 数据 ; 堆栈 区 存放 程序 运行 时 申请 的 内 存 空间 ,用 来 存放 动态 
数据 。 图 5. 11(a) 所 示 为 程序 在 内 存 中 的 分 配 情况 ,图 5. 11(b) 所 示 为 栈 中 的 数据 排列 
顺序 。 



































代码 区 | 内 存 低 端 栈 项 缓冲 区 内 存 低 端 

数据 区 EBP 

堆 区 RET 地 址 

栈 区 “| 内 存 高 端 栈 底 | 入 口 参 数 argv[1] 地 址 | 内 存 高 端 
(a) 程序 在 内 存 中 的 分 配 (b) 栈 中 数据 排列 顺序 


5.11 程序 运行 时 内 存 分 配 和 堆栈 排列 


当然 ,随便 向 缓冲 区 中 填 数 据 也 可 造成 程序 溢出 ,这 时 一 般 只 会 出 现 “ 分 段 错误 ” 
(Segmentation Fault) ,而 不 能 达到 攻击 的 目的 。 为 了 说 明 该 攻击 的 有 效 性 ,下 面 通过 例子 
来 说 明 溢 出 攻击 的 基本 原理 。 

通常 C 语言 对 边界 不 进行 检查 , 当 输入 的 数据 超出 缓冲 区 的 大 小 时 , 接 下 来 的 数据 就 
会 将 EBP( 基 址 寄存 器 ) .RET( 返 回 地 址 ) 等 覆盖 掉 ,导致 程序 无 法 正常 执行 。 以 下 是 另外 
一 种 缓冲 区 溢出 。 
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# include < iostream.h> 
#include < string.h> 
void function(int a) 
1 
char buffer[5]; 
char * ret; 
ret = buffer + 12; 
* ret+= 8; 


1 


void main() 

{ 
IE 
x=10; 
function(7); 
x=1; 
cout <<x<<endl; 


1 

如 果 不 仔细 分 析 这 有 段 程序 ,很 可 能 认为 它 的 执行 结果 是 1, 而 不 是 10。 实 际 上 ,这 段 程 
序 的 运行 结果 是 10, 而 不 是 1。 通 常 函 数 调 用 的 执行 过 程 大 致 如 下 。 

(1) 为 该 函数 的 形式 参数 分 配 内 存 , 并 将 实际 参数 的 值 赋 给 形式 参数 。 

(2) 将 函数 返回 地 址 压 栈 。 

(3) 执行 被 调用 函数 。 

(4) 被 调用 函数 执行 结束 以 后 , 跳 到 RET 指向 的 指令 继续 执行 。 

这 段 代码 的 执行 过 程 是 : 首先 为 形式 参数 a、RET 和 EBP 各 分 配 4 字 节 的 空间 ,最 后 
为 语句 “char buffer[5];” 分 配 内 存 时 ,因为 对 齐 的 问题 需要 分 配 8 字 节 的 空间 。 执 行 “ret 一 
buffer 十 12;” 这 条 语句 后 ,ret 恰好 指向 RET, 而 RET 的 值 恰 好 是 函数 function(7) 的 返回 
地 址 , 即 “x==1;” 这 条 语句 的 首 地 址 。 但 执行 ”x ret 十 三 8;” 语 句 后 ,就 将 RET 的 值 加 上 了 
8, 而 “x 二 1;” 这 条 语句 恰好 占用 8 字 节 。 由 于 RET 存放 函数 function(7) 的 返回 地 址 ,因此 
function(7) 执 行 结束 后 将 跳 过 “x 二 1;” 这 条 语句 ,直接 执行 *cout < x < end1;” 诸 句 。 

缓冲 区 溢出 攻击 之 所 以 成 为 一 种 常见 的 安全 攻击 手段 ,其 原因 在 于 缓冲 区 溢出 漏洞 太 
普遍 了 ,并 且 易 于 实现 ,而 且 缓 冲 区 溢出 漏洞 给 予 了 攻击 者 想 要 的 一 切 : 植 人 并 且 执 行 攻击 
代码 。 被 植 入 的 攻击 代码 以 一 定 的 权限 运行 有 缓冲 区 溢出 漏洞 的 程序 ,从 而 得 到 被 攻击 主 
机 的 控制 权 。 


5.5.2 缓冲 区 溢出 攻击 方法 


缓冲 区 溢出 攻击 的 目的 在 于 扰乱 具有 某 些 特权 运行 程序 的 功能 ,从 而 使 得 攻击 者 取得 
程序 的 控制 权 。 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 就 被 控制 了 。 为 了 达到 这 个 目 
的 ,攻击 者 必须 达到 以 下 两 个 目标 。 

(1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 。 

(2) 通过 适当 的 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 

根据 这 两 个 目标 可 以 对 缓冲 区 洲 出 攻击 进行 分 类 ,缓冲 区 溢出 攻击 分 为 代码 安排 和 控 
制程 序 执行 流程 两 种 方法 。 

1. 在 程序 地 址 空间 里 安排 适当 代码 的 方法 

(1) 植 和 法。 攻击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 
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区 里 。 这 个 字符 串 包 含 的 资料 是 可 以 在 这 个 被 攻击 的 硬件 平台 上 运行 的 指令 序列 。 在 这 
里 ,攻击 者 用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 。 缓 冲 区 可 以 设 在 任何 地 方 : 栈 (stack， 
自动 变量 )、 堆 (heap ,动态 分 配 的 内 存 区 ) 和 静态 资料 区 。 

(2) 利用 已 经 存在 的 代码 。 有 时 攻击 者 想 要 的 代码 已 经 在 被 攻击 的 程序 中 了 ,攻击 者 所 
要 做 的 只 是 对 代码 传递 一 些 参 数 。 例 如 ,攻击 代码 要 求 执行 exec ("/bin/sh") ,而 在 libc 库 中 
的 代码 执行 exec (arg) ,其 中 arg 是 一 个 指向 一 个 字符 串 的 指针 参数 ,那么 攻击 者 只 要 把 传人 
的 参数 指针 改 为 指向 /bin/sh 即 可 。 

2. 控制 程序 转移 到 攻击 代码 的 方法 

所 有 的 这 些 方 法 都 是 在 寻求 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基本 的 就 
是 溢出 一 个 没有 边界 检查 或 其 他 弱点 的 缓冲 区 ,这样 就 扰乱 了 程序 的 正常 执行 顺序 。 通 过 洲 
出 一 个 缓冲 区 ,攻击 者 可 以 用 暴力 的 方法 改写 相 邻 的 程序 空间 ,而 直接 跳 过 系统 的 检查 。 

分 类 的 基准 是 攻击 者 所 寻求 的 缓冲 区 溢出 的 程序 空间 类 型 。 原 则 上 可 以 是 任意 的 空 
间 。 实 际 上 ,许多 的 缓冲 区 溢出 是 用 暴力 的 方法 来 寻求 改变 程序 指针 的 。 这 类 程序 的 不 同 
之 处 就 是 程序 空间 的 突破 和 内 存 空间 的 定位 不 同 。 主 要 有 以 下 3 种 。 

(1) 激活 记录 (Activation Records) 。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 留 
下 一 个 活动 记录 , 它 包含 了 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 堆栈 中 的 自动 变量 ,使 
返回 地 址 指向 攻击 代码 。 通 过 改变 程序 的 返回 地 址 , 当 函 数 调用 结束 时 ,程序 就 跳 转 到 攻击 
者 设 定 的 地 址 ,而 不 是 原先 的 地 址 。 这 类 缓冲 区 溢出 称 为 堆栈 溢出 攻击 (Stack Smashing 
Attack) ,是 目前 最 常用 的 缓冲 区 溢出 攻击 方式 。 

(2) 函数 指针 (Function Pointers)。 函 数 指针 可 以 用 来 定位 任何 地 址 空间 。 例 如 ， 
“void (x* fo00)()” 声 明了 一 个 返回 值 为 void 的 函数 指针 变量 foo。 所 以 ,攻击 者 只 需 在 任何 
空间 内 的 函数 指针 附近 找到 一 个 能 够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 来 改变 函数 指针 。 
在 某 一 时 刻 , 当 程序 通过 函数 指针 调用 函数 时 ,程序 的 流程 就 按 攻击 者 的 意图 实现 了 。 它 的 
一 个 攻击 范例 就 是 在 Linux 系统 下 的 superprobe 程序 。 

(3) 长 跳 转 缓冲 区 (Longjmp Buffers)。 在 C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系 
统 , 称 为 setjmp/longjmp。 意 思 是 在 检验 点 设 定 setjmp(buffer) ,用 longjmp(buffer) 来 恢复 
检验 点 。 然 而 ,如 果 攻 击 者 能 够 进入 缓冲 区 的 空间 ,那么 longjmp(buffer) 实 际 上 是 跳 转 到 
攻击 者 的 代码 。 像 函数 指针 一 样 ,长 跳 转 缓 冲 区 能 够 指向 任何 地 方 ,所 以 攻击 者 所 要 做 的 就 
是 找到 一 个 可 供 溢出 的 缓冲 区 。 一 个 典型 的 例子 就 是 Perl 5. 003 的 缓冲 区 溢出 漏洞 。 攻 击 
者 首先 进入 用 来 恢复 缓冲 区 溢出 的 长 跳 转 缓冲 区 ,然后 诱导 进入 恢复 模式 ,这 样 就 使 Perl 
的 解释 器 跳 转 到 攻击 代码 上 了 。 


5.5.3 防范 缓冲 区 溢出 


在 C 请 言 中 ,指针 和 数组 越界 不 保护 是 缓冲 区 溢出 的 根源 ,而 且 在 C 语言 标 准 库 中 就 
有 许多 能 提供 溢出 的 函数 ,如 strcat() \strcpy() .sprintf() 、vsprintf() ,gets() 和 scanf() 等 。 
虽然 大 家 都 认为 缓冲 区 溢出 可 以 在 编程 阶段 得 到 避免 ,但 在 实际 编程 操作 中 却 并 没有 那么 
简单 。 这 主要 在 于 ,有 些 开发 人 员 没 有 意识 到 问题 的 存在 ; 有 些 开发 人 员 不 愿意 使 用 边界 
检查 ,因为 这 样 做 会 影响 到 程序 的 效率 和 性 能 。 

综合 起 来 .防范 缓冲 区 溢出 主要 有 以 下 方法 。 
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(1) 编写 正确 的 代码 。 在 开发 过 程 中 ,尽量 使 用 带 有 边界 检查 的 函数 版 本 ,或 者 自己 进 
行 边界 检查 是 防止 缓冲 区 溢出 的 基本 方法 。 

(2) 及 时 安装 漏洞 补丁 。 缓 冲 区 溢出 是 代码 中 国有 的 漏洞 ,除了 在 开发 阶段 注意 编写 
正确 的 代码 外 ,对 于 用 户 的 一 般 防 范 措施 就 是 关闭 不 必要 的 端口 和 服务 ,并 及 时 安装 厂商 提 
供 的 补丁 ,这 是 解决 缓冲 区 溢出 问题 最 有 效 的 方法 。 

(3) 借助 于 防火 墙 阻止 缓冲 区 溢出 。 在 防火 墙 上 过 滤 特 殊 的 流量 也 是 一 种 防范 的 基本 
方法 ,但 使 用 防火 墙 无 法 阻止 来 自 内 部 人 员 的 溢出 攻击 。 此 外 ,为 了 限制 黑客 溢出 成 功 的 权 
限 ,以 所 需要 的 最 小 权限 运行 软件 也 是 一 种 很 好 的 防范 方法 。 


5.6 注入 式 攻击 


注入 式 攻击 是 一 种 比较 常见 .危害 严重 的 网 络 攻击 ,其 主要 针对 Web 服务 器 端的 特定 
数据 库 系 统 。 注 入 式 攻击 的 基本 特征 主要 表现 在 从 一 个 数据 库 获得 未 授权 的 访问 与 直接 检 
索 。 注 入 式 攻 击 的 手段 是 在 Web 访问 请 求 中 插入 SQL 语句 ,针对 的 是 Web 服务 器 程序 开 
发 过 程 中 的 漏洞 ,如 是 否 做 输入 数据 的 合法 性 检查 等 。 

由 于 注入 式 攻 击 利用 的 是 SQL 语法 ,因此 这 种 攻击 具有 广泛 的 应 用 基础 。 从 理论 上 来 
讲 , 对 于 所 有 的 基于 SQL 的 数据 库 软件 ,如 Access、SQL Server、Oracle、.DB2、MySQL 等 ， 
注 和 人 式 攻击 都 是 有 效 的 攻击 方法 。 当 然 , 根 据 各 种 不 同 的 数据 库 软件 ,最终 的 攻击 代码 也 会 
有 一 定 的 区 别 。 

注入 式 攻击 的 基本 流程 如 下 。 

(1) 判断 是 否 存在 漏洞 。 在 浏览 器 地 址 栏 中 ,输入 “http://www. *. </x<.asp?nid 一 
12 and 1 二 1”, 返 回 正常 结果 ; 而 输入 “http://www. x*. x*/x.asp? nid 一 12 and 1 一 2”, 提 
示 BOF 或 EOF 等 信息 , 则 说 明 该 网 站 存在 注入 漏洞 。 

(2) 判断 数据 库 软 件 的 类 型 。 在 浏览 器 地 址 栏 中 输入 “http://www. *. /x*.asp? 

nid 一 12 and user 二 0”, 提 示 JET, 说 明 数 据 库 软 件 是 Access; 提示 OLEDB, 说 明 数 据 库 软 件 
是 SQL Server。 

(3) 猜测 数据 库 中 的 表 以 及 表 中 的 字段 与 字段 中 的 值 。 在 浏览 器 地 址 栏 中 ,输入 
“http://www. *. */x*.asp? nid 一 12 and (select count( * ) from Admin) 二 0”, 返 回 正常 
结果 ,说 明 数 据 库 中 存在 Admin 表 ; 输入 “http://www. *. ¥*/*.asp? nid 一 12 and 
(select count(admin) from Admin) 二 0”, 返 回 正常 结果 ,说明 Admin 表 中 存在 admin 字段 ; 
输入 *http://www. *. */*.asp? nid=12 and exists (select id from Admin where id 一 
1)”, 返 回 正常 结果 ,说 明 admin 字段 中 存在 id 为 1 的 值 。 

(4) 猜测 用 户 名 及 长 度 。 在 浏览 器 地 址 栏 中 ,输入 “http://www. *. x*/*.asp?nid 一 
12 and (select top 1 len(username)from Admin) 记 n”, 返 回 错误 结果 ,说 明 用 户 名 的 长 度 为 
7 一 1; 输入 “http://www. *. */*.asp? nid 一 12 and exists(select id from Admin where 
id 一 1 and asc(mid(admin,n,1)) 二 97)”, 返 回 正常 结果 ,由 于 97 为 字符 a 的 ASCII 码 值 ,说 
明 用 户 名 的 第 位 为 a。 

(5) 猜测 用 户 密码 及 其 长 度 。 测 试 方法 类 似 步 又 (4)。 
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(6) 登录 网 站 后 台 系 统 ,进一步 执行 攻击 行为 。 

由 于 多 数 网 站 都 使 用 SQL Server 等 数据 库 软件 ,并 且 很 多 程序 员 在 编写 程序 的 时 候 没 
有 做 输入 数据 的 合法 性 检查 ,因此 注入 式 攻击 成 为 针对 网 站 系统 的 常见 攻击 手段 。 由 于 注 
入 式 攻 击 是 在 Web 的 输入 地 址 中 提交 SQL 语句 ,其 访问 行为 与 正常 Web 页 面 访问 没有 区 
别 ,因此 多 数 防火 墙 系 统 无 法 有 效 检测 注入 式 攻击 。 但 是 ,注入 式 攻 击 会 导致 网 站 出 现 一 些 
可 疑 现象 ,如 Web 页 面 混 乱 .数据 内 容 丢 失 、 访 问 速度 下 降 等 ,这 些 现象 都 有 助 于 发 现 注 和 
式 攻 击 。 
针对 注入 式 攻击 的 防范 措施 主要 包括 在 编写 代码 时 做 好 数据 的 合法 性 检查 ,增强 数据 
库 软件 的 安全 设置 ,启用 Web 服务 器 的 审计 日 志 等 ,从 而 有 效 防 范 注 入 式 攻击 行为 。 





5.7 拒绝 服务 攻击 


DoS(Denial of Service, 拒 绝 服务 ) 攻 击 是 一 种 既 简单 又 有 效 的 攻击 方式 。 它 是 针对 系 
统 的 可 用 性 发 起 的 攻击 ,通过 某 些 手段 使 得 目标 系统 或 网 络 不 能 提供 正常 的 服务 。 该 攻击 
主要 是 利用 了 TCP/IP 中 存在 的 设计 缺陷 ,或 者 操作 系统 及 网 络 设备 的 网 络 协议 栈 存 在 的 
实现 缺陷 。 

一 些 商业 及 政府 网 站 都 曾经 遭受 拒绝 服务 攻击 。 在 2000 年 2 月 发 生 的 一 次 针对 某 些 
高 利润 的 站 点 (如 雅虎 .易趣 等 ) 的 拒绝 服务 攻击 持续 了 近 两 天 ,使 这 些 公 司 遭 受 了 很 大 的 损 
失 , 事 后 这 些 攻击 确定 为 分 布 式 的 拒绝 服务 攻击 。 

从 攻击 技术 来 看 ,DoS 攻击 表现 为 带宽 消耗 、 系 统 资 源 消 耗 ,程序 实现 上 的 缺陷 、 系 统 策 
略 的 修改 等 几 种 。 带 宽 消 耗 是 通过 网 络 发 送 大 量 信息 ,用 足够 的 传输 信息 消耗 掉 有 限 的 带 
宽 资 源 。 系 统 资源 消耗 是 向 系统 发 送 大 量 信 息 , 针 对 操作 系统 中 有 限 的 资源 ,如 进程 数 、 磁 
盘 `CPU 内存 文件 句柄 等 。 利 用 程序 实现 上 的 缺陷 ,对 异常 行为 的 不 正确 处 理 , 通 过 发 送 
一 些 非 法 数据 包 使 系统 死机 或 重启 ,如 Ping of Death。 修 改 或 算 改 系统 策略 也 可 以 使 得 它 
不 能 提供 正常 的 服务 。 

从 攻击 目标 来 看 ,有 通用 类 型 的 DoS 攻击 和 系统 相关 的 攻击 。 通 用 类 型 的 DoS 攻击 往 
往 是 与 具体 系统 无 关 的 ,如 针对 协议 设计 缺陷 的 攻击 。 系 统 相关 的 攻击 往往 与 具体 的 实现 
有 关 。 最 终 , 所 有 的 攻击 都 是 与 系统 相关 的 ,因为 有 些 系统 可 以 针对 协议 的 缺陷 提供 一 些 补 
救 措施 ,从 而 免 受 此 类 攻击 。 

一 些 典 型 的 DoS 攻击 有 Ping of Death Teardrop 、UDP Flooding、Land、SYN Flooding 和 
Smurf 等 。 


5.7.1 JIP 碎片 攻击 


1. JP 碎片 是 如 何 产生 的 

链 路 层 具 有 最 大 传输 单元 (MTU) 这 个 特性 , 它 限 制 了 数据 帧 的 最 大 长 度 (不 同 的 网 络 
类 型 都 有 一 个 上 限 值 ) 。 以 太 网 的 MTU 是 1500 字 节 ,可 以 用 netstat -i 命令 查看 这 个 值 
(在 Linux 下 )。 如 果 IP 层 有 数据 包 要 传 ,而 且 数据 包 的 长 度 超 过 了 MTU ,那么 IP 层 就 要 
对 数据 包 进 行 分 片 (Fragmentation) 操 作 ,使 每 一 片 的 长 度 都 小 于 或 等 于 MTU。 假 设 要 传 
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输 一 个 UDP 数据 包 , 以 太 网 的 MTU 为 1500 字 节 ,一般 IP 首部 为 20 字 节 ,UDP 首部 为 8 
字 节 ,数据 的 净 荷 (Payload) 部 分 预 留 是 1500 字 节 一 20 字 节 一 8 字 节 一 1472 字 节 。 如 果 数 
据 部 分 大 于 1472 字 节 ,就 会 出 现 分 片 现象 。 

IP 首部 包含 了 分 片 和 重组 所 需 的 信息 : 


| Identification |RIDF|MEF| Fragment Offset |<—16>|<3>|<-13>| 


参数 解释 : 

(1) Identification: 发 送 端 发 送 的 IP 数据 包 标 识字 段 , 是 一 个 唯一 值 , 该 值 在 分 片 时 被 
复制 到 每 个 片 中 。 

(2) R: 保留 未 用 。 

(3) DF: Dont Fragment,“ 不 分 片 ”位 ,如 果 将 这 一 位 置 1,IP 层 将 不 对 数据 包 进 行 分 片 。 

(4) MF: More Fragment,“ 更 多 的 分 片 ”, 除 了 最 后 一 片 外 ,其 他 每 个 组 成 数据 包 的 片 
都 要 把 该 位 置 为 1。 

(5) Fragment Offset: 该 片 偏 移 原始 数据 包 开 始 处 的 位 置 。 偏 移 的 字 节 数 是 该 值 乘 
以 8。 

了 解 了 分 片 , 也 分 析 了 IP 头 的 一 些 信息 。 下 面 介 绍 IP 碎片 是 怎样 被 运用 在 网 络 攻击 
上 的 。 

2. IP 碎片 攻击 

IP 首部 有 2 字 节 表示 整个 IP 数据 包 的 长 度 , 所 以 IP 数据 包 最 长 只 能 为 0xFFFF ,就 是 
65 535 字 节 。 如 果 有 意 发 送 总 长 度 超过 65 535 字 节 的 IP 碎片 ,一 些 旧 的 系统 内 核 在 处 理 
的 时 候 就 会 出 现 问题 ,导致 崩溃 或 拒绝 服务 。 另 外 ,如 果 分 片 之 间 偏 移 量 经 过 精心 构造 ,一 
些 系统 就 无 法 处 理 ,导致 死机。 所 以 说 ,漏洞 的 起 因 是 出 在 重组 算法 上 。 下 面 通过 逐个 分 析 
一 些 著 名 的 碎片 攻击 程序 来 了 解 如 何人 为 制造 IP 碎片 以 攻击 系统 。 

1) 攻击 方式 之 Ping of Death 

Ping of Death 是 利用 ICMP 的 一 种 碎片 攻击 。 攻 击 者 发 送 一 个 长 度 超过 65 535 字 节 
的 Echo Request 数据 包 , 目 标 主机 在 重组 分 片 的 时 候 会 造成 事先 分 配 的 65 535 字 节 缓冲 区 
溢出 ,系统 通常 会 崩溃 或 挂 起 。 尝 试 把 IP 和 ICMP 首部 长 度 设 为 65 535 字 节 ,发送 一 个 数 
据 包 ， 

# ping 192.168.0.1 -1 65535 

Error: packet size 65535 is too large. Maximum is 65507 

一 般 来 说 ,Linux 自 带 的 ping 是 不 允许 做 这 个 坏事 的 。65 507 字 节 是 它 计 算 好 的 , 即 
65 535 字 节 一 20 字 节 一 8 字 节 王 65 507 字 节 。Windows 2000 下 的 ping 数据 只 允许 65 500 
字 节 大 小 。 所 以 ,必须 找 另 外 的 程序 来 发 这 个 数据 包 。 在 目前 新 版 本 的 操作 系统 中 已 经 修 
补 了 这 个 漏洞 。 

2) 攻击 方式 之 jolt2 攻击 

jolt2.c 是 在 一 个 死 循 环 中 不 停 地 发 送 一 个 ICMP/UDP 的 IP 碎片 ,可 以 使 Windows 
系统 的 机 器 死 锁 。 测 试 没 打 补丁 的 Windows 2000 系统 ,CPU 利用 率 会 立即 上 升 到 100%， 
鼠标 指针 无 法 移动 。 

用 Snort 分 别 抓 取 采用 ICMP 和 UDP 发 送 的 数据 包 。 发 送 的 ICMP 包 : 
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01/07—15: 33: 26.974096 192.168.0.9 —> 192.168.0.1 
ICMP TTL: 255 TOS: 0x0 ID: 1109 IpLen: 20 DgmLen: 29 
Frag Offset: OxlFFE Frag Size: 0x9 
08 00 00 00 00 00 00 00 00 … 

发 送 的 UDP 包 : 

01/10—14: 21: 00.298282 192.168.0.9 -> 192.168.0.1 
UDP TTL: 255 TOS: 0x0 ID: 1109 IpLen: 20 DgmLen: 29 
Frag Offset: 0xlFFE Frag Size: 0x9 
04 D3 04 D2 00 09 00 00 61 …a 

从 上 面 的 结果 可 以 看 出 : 分 片 标志 位 MF 二 0, 说 明 是 最 后 一 个 分 片 。 偏 移 量 为 
0xlFFE, 计 算 重 组 后 的 长 度 为 (0x1FFE * 8) 十 29 = 二 65 549 之 65 535 ,溢出 。 

ICMP 包 : 类 型 为 8, 代码 为 0, 是 Echo Request。 校 验 和 为 0x0000 ,程序 没有 计算 校 
验 , 所 以 确切 地 说 ,这 个 ICMP 包 是 非法 的 。 

UDP 包 : 目的 端口 由 用 户 在 命令 参数 中 指定 。 源 端口 是 目的 端口 和 1235 进行 OR 的 
结果 。 校 验 和 为 0x0000, 与 ICMP 的 一 样 , 没 有 计算 ,非法 的 UDP。 净 荷 部 分 只 有 一 个 字 
符 a。 

jolt2 应 该 可 以 伪造 源 IP 地 址 ,但 是 源 程 序 中 并 没有 把 用 户 试 图 伪装 的 IP 地 址 赋值 给 
src_addr。 

jolt2 的 影响 相当 大 ,通过 不 停 地 发 送 这 个 偏 移 量 很 大 的 数据 包 , 不 仅 死 锁 未 打 补 丁 的 
Windows 系统 ,同时 也 大 大 增加 了 网 络 流量 。 曾 经 有 人 利用 jolt2 模拟 网 络 流量 ,测试 IDS 
在 高 负载 流量 下 的 攻击 检测 效率 ,就 是 利用 这 个 特性 。 

3) 攻击 方式 之 Teardrop 

Teardrop 是 一 种 IP 碎片 攻击 ,也 是 一 种 常见 的 DoS 攻击 方式 。 它 的 攻击 方式 非常 简 
单 : 通过 发 送 一 些 IP 分 片 异 常 的 数据 包 , 在 IP 包 的 分 片 装配 过 程 中 ,由 于 分 片 重 全 ,计算 
过 程 中 出 现 长 度 为 负 值 ,在 执行 memcpy 的 时 候 导致 系统 骨 溃 。 当 网 络 分 组 穿越 不 同 的 网 
络 时 ,需要 根据 网 络 的 最 大 传输 单元 来 把 它们 分 割 成 较 小 的 片 。 早 期 的 Linux 系统 在 处 理 
IP 分 片 重组 问题 时 ,尽管 对 片断 是 否 过 长 进行 检查 ,但 对 过 短片 段 却 没有 进行 验证 ,所 以 导 
致 了 Teardrop 形式 的 攻击 。 该 攻击 主要 影响 Linux 和 Windows NT/95 系统 。 

如 图 5.12 所 示 , 在 Linux 2.0 内 核 中 有 以 下 处 理 : 当 发 现 有 位 置 重合 时 (offset2 二 end1)， 
将 offset 向 后 调 到 end1(offset 二 end1) ,然后 更 改 len2 的 值 , 即 len2 一 end2 一 offset2, 此 时 
len2 变 成 了 一 个 小 于 0 的 值 ,会 导致 以 后 处 理 时 出 现 溢出 。 

















— lenl 
第 一 个 分 片 包 
offsetl endl 
offset2 end2 
第 二 个 分 片 包 





len2 














5.12 异常 分 片 重组 
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3. 如 何 防止 IP 碎片 攻击 


为 了 防止 IP 碎片 攻击 ,Windows 系统 在 升级 补丁 Service Pack 后 可 以 解决 这 个 问题 ， 
目前 的 Linux 内 核 已 经 不 受 影 响 。 如 果 可 能 ,在 网 络 边界 上 禁止 碎片 包 通过 ,或 者 用 
IPtables 限制 每 秒 通过 碎片 包 的 数目 。 如 果 防 火 墙 有 重组 碎片 的 功能 ,确保 自身 的 算法 没 
有 问题 ; 否则 ,受到 DoS 攻击 就 会 影响 整个 网 络 。 在 Windows 2000 系统 中 , 自 定义 了 IP 
安全 策略 ,并 设置 了 “碎片 检查 ”, 以 防止 IP 碎片 攻击 。 

在 很 多 路 由 器 上 也 有 “IP 碎片 (Fragment) 攻击 防御 ”的 设置 ,网 络 规模 在 150 台 左 右 ， 
建议 IP 碎片 值 设置 在 3000 包 / 秒 。 


5.7.2 UDP 洪 泛 


UDP 洪 泛 攻 击 的 原理 是 各 种 各 样 的 假冒 攻击 利用 简单 的 TCP/IP 服务 ,如 Chargen 和 
Echo 来 传送 毫 无 用 处 的 占 满 带宽 的 数据 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 
次 UDP 连接 ,回复 地 址 指向 开 着 Echo 服务 的 一 台 主 机 ,这 样 就 在 两 台 主 机 之 间 生 成 足够 
多 的 无 用 数据 流 , 导 致 带宽 耗 尽 的 拒绝 服务 攻击 。 

关 掉 不 必要 的 TCP/IP 服务 ,或 者 对 防火 墙 进行 配置 , 阻 断 来 自 Internet 的 对 这 些 服 务 
响应 的 UDP 请 求 都 可 以 防范 UDP 洪 泛 攻击 。 


5.7.3 SYN 洪 泛 


SYN 洪 泛 攻击 利用 TCP/IP 连接 三 次 握手 过 程 ,打开 大 量 的 半 开 TCP 连接 ,使 得 目标 
机 器 不 能 进一步 接受 TCP 连接。 每 台 机 器 都 需要 为 这 种 半 开 连接 分 配 一 定 的 资源 ,并 且 这 
种 半 开 连接 的 数量 是 有 限制 的 ,达到 最 大 数量 时 ,CPU 满 负 荷 或 内 存 不 足 , 机 器 就 不 再 接受 
进来 的 连接 请 求 , 如 图 5. 13 所 示 。 在 SYN 洪 泛 攻击 中 ,连接 请 求 是 正常 的 ,但 是 源 IP 地 址 
往往 是 伪造 的 ,并 且 是 一 台 不 可 到 达 机 器 的 IP 地 址 ,否则 被 伪造 地 址 的 机 器 会 重 置 这 些 半 
开 连 接 。 一 般 半 开 连 接 超时 之 后 会 自动 清除 ,所 以 攻击 者 的 系统 发 出 SYN 报 的 速度 都 要 
比 目 标 机 器 清除 半 开 连接 的 速度 要 快 。 任 何 连接 到 Internet 上 并 提供 基于 TCP 的 网 络 服 
务 都 有 可 能 成 为 攻击 的 目标 。 这 样 的 攻击 很 难 跟踪 ,因为 源 地 址 往往 不 可 信 ,而 且 不 在 线 。 
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5.13 SYN 洪 泛 攻击 示意 图 
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SYN 洪 泛 攻击 的 特征 是 目标 主机 的 网 络 上 出 现 大 量 的 SYN 包 , 而 没有 相应 的 应 答 包 ; 
SYN 包 的 源 地 址 可 能 是 伪造 的 ,甚至 无 规律 可 循 。 

可 以 在 主机 和 网 络 上 采取 措施 来 防止 SYN 洪 泛 攻击 。 防 火 墙 或 路 由 器 可 以 在 给 定 的 
时 间 内 只 允许 有 限 数量 的 半 开 连接 ,入 侵 检 测 可 以 发 现 这 样 的 DoS 攻击 行为 。 主 机 上 可 以 
限制 SYN Timeout 的 时 间 。 此 外 ,一 些 操作 系统 也 实现 了 防止 SYN 洪 泛 攻击 的 功能 ,如 
Linux 和 Solaris 使 用 了 一 种 称 为 SYN cookie 的 技术 来 解决 SYN 洪 泛 攻击 : 在 半 开 连接 队 
列 之 外 另 设置 一 套 机 制 ,使 得 合法 连接 得 以 正常 继续 。 


5.7.4 Smurf 攻击 


在 Smurf 攻击 中 ,攻击 者 向 一 个 广播 地 址 发 送 ICMP Echo 请 求 , 并 且 用 受害 者 的 IP 地 
址 作为 源 地 址 ,于 是 广播 地 址 网 络 上 的 每 台 机 器 响应 这 些 Echo 请 求 , 同 时 向 受害 者 主机 发 
送 ICMP Echo Reply 应 答 。 受 害 者 主机 会 被 这 些 大 量 的 应 答 包 所 淹没 ,如 图 5. 14 所 示 。 
此 类 攻击 还 有 一 个 变种 叫做 fraggle 或 udpsmurf, 使 用 UDP 包 。 例如 ,攻击 者 向 7 号 端口 
发 送 ICMP Echo 请 求 , 如 果 目 标 机 器 的 端口 开放 , 则 发 送 ICMP Echo Reply, 和 否则 产生 
ICMP 不 可 到 达 消 息 。 该 攻击 的 两 个 主要 特点 是 使 用 伪造 的 数据 包 和 使 用 广播 地 址 。 在 该 
攻击 中 ,不 仅 被 伪造 地 址 的 机 器 受害 ,目标 网 络 本 身 也 是 受害 者 ,因为 它们 要 发 送 大 量 的 应 
答 包 。Smnurf 攻击 涉及 三 方 : 攻击 者 .中 间 目 标 网 络 和 受害 者 。 它 以 较 小 的 网 络 带 宽 资源 ， 
通过 放大 作用 ,攻击 具有 较 大 带宽 的 受害 者 系统 。 







攻击 者 ICMP Echo 
(用 目标 的 IP 地 
址 进行 欺骗 ,发 
送 给 广播 地 址 ) 














图 5.14 Smurf 攻击 示意 图 


可 采取 的 防范 措施 如 下 : 

(1) 配置 路 由 器 ,禁止 IP 广播 包 进 网 。 

(2) 配置 网 络 上 所 有 计算 机 的 操作 系统 ,禁止 对 目标 地 址 为 广播 地 址 的 ICMP 包 响 应 。 

(3) 被 攻击 目标 与 ISP 协商 ,让 ISP 暂时 阻止 这 些 流量 。 

(4) 对 于 从 本 网 络 向 外 部 网 络 发 送 的 数据 包 , 本 网 络 应 该 将 其 源 地 址 为 其 他 网 络 的 这 
部 分 数据 包 过 滤 掉 。 


5.7.5 分 布 式 拒绝 服务 攻击 


传统 的 拒绝 服务 是 一 台 机 器 向 受害 者 发 起 攻击 ,分 布 式 拒绝 服务 (Distributed Denial of 
Service, DDoS) 攻 击 不 仅 是 一 台 机 器 .而 是 多 台 机 器 合作 .同时 向 一 个 目标 发 起 攻击 。DDoS 
攻击 模型 如 图 5. 15 所 示 。 该 攻击 过 程 涉 及 3 个 层次 , 即 攻击 者 、 主 控 端 和 代理 端 。 攻 击 者 
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所 用 的 计算 机 是 攻击 主 控 台 ,可 以 是 网 络 上 的 任何 一 台 主 机 。 攻 击 者 操纵 整个 攻击 过 程 , 它 
向 主 控 端 发 送 攻击 指令 。 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,这 些 主机 还 分 别 控 
制 着 大 量 的 客户 机 。 主 控 端 主机 上 面 安装 了 特定 的 程序 ,可 以 接收 来 自 攻击 者 的 特殊 指令 ， 
并 将 这 些 命令 发 送 到 代理 端 。 代 理 端 同样 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,它们 上 面 运 
行 攻击 程序 。 在 一 个 特定 的 时 间 , 主 控 程序 与 大 量 的 代理 程序 通信 ,代理 程序 收 到 指令 后 就 
进行 攻击 。 利 用 客户 机 /服务 器 技术 , 主 控 程 序 能 在 几 秒 内 激活 成 百 上 千 个 代理 程序 进行 
攻击 。 








图 5.15 ”DDoS 拒绝 服务 攻击 原理 


DDos 攻击 的 主要 工具 有 TFN(Tribe Flood Network)、TFN2K 和 Stacheldraht 等 。 

由 于 DDoS 攻击 具有 隐蔽 性 ,到 目前 为 止 还 没有 找到 对 DDoS 攻击 行 之 有 效 的 解决 方 
法 ,因此 只 能 加 强 安全 防范 意识 ,提高 网 络 系统 的 安全 性 。 主 要 的 防御 策略 有 以 下 几 方 面 。 

(1) 及 早 发 现 系统 存在 的 漏洞 ,及 时 安装 系统 补丁 程序 。 对 一 些 系统 的 重要 信息 建立 
和 完善 备份 机 制 。 对 一 些 特权 账号 的 密码 设置 要 谨慎 。 

(2) 经 常 检查 系统 的 物理 环境 ,禁止 不 必要 的 网 络 服务 。 建 立 边 界 安全 界限 ,确保 输出 
的 包 受 到 正确 限制 。 经 常 检查 系统 配置 信息 ,并 注意 查看 每 天 的 安全 日 志 。 

(3) 充分 利用 防火 墙 等 网 络 安全 设备 ,加 固 网 络 的 安全 性 ,配置 好 它们 的 安全 规则 ,过 
滤 掉 所 有 可 能 伪造 的 数据 包 。 





5.8 ”欺骗 攻击 与 防范 


欺骗 攻击 是 利用 TCP/IP 等 本 身 的 漏洞 而 进行 的 攻击 行为 。 这 些 攻击 包括 IP 欺骗 、 
DNS 欺骗 .ARP 欺骗 等 。 欺骗 攻 击 本 身 不 是 攻击 的 目的 ,而 是 为 实现 攻击 目标 所 采取 的 手 
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段 。 欺骗 攻击 往往 基于 相互 之 间 的 信任 关系 。 两 台 计算 机 进行 相互 通信 时 ,往往 需要 首先 
进行 认证 。 认 证 是 网 络 上 的 计算 机 用 于 相互 之 间 进 行 识别 的 过 程 ,经 过 认证 的 过 程 ,获准 相 
互 交流 的 计算 机 之 间 就 建立 起 相互 信任 的 关系 。 信 任 和 认证 具有 道 反 关系 , 即 如 果 计 算 机 
之 间 存 在 高 度 信任 关系 ,交流 时 就 不 会 要 求 严格 的 认证 。 相 反 , 如 果 计 算 机 之 间 没 有 很 好 的 
信任 关系 ,交流 时 就 会 要 求 进行 严格 的 认证 。 

实质 上 ,欺骗 就 是 一 种 冒充 他 人 身份 通过 计算 机 认证 骗取 计算 机 信任 的 攻击 方式 。 攻 
击 者 针对 认证 机 制 的 缺陷 ,将 自己 伪装 成 可 信任 方 ,从 而 与 受害 者 进行 交流 ,最 终 窃取 信息 
或 展开 进一步 的 攻击 。 其 骗 的 种 类 很 多 ,下 面具 体 介绍 IP 欺骗 和 ARP 欺骗 ,其 他 类 型 的 欺 
骗 攻击 , 感 兴趣 的 读者 可 以 查找 相关 方面 的 材料 。 


5.8.1 了 JP 欺骗 攻击 与 防范 


IP 欺骗 (IP Spoofing) 就 是 伪造 某 台 主机 IP 地 址 的 技术 。 通 过 IP 地 址 的 伪装 使 得 某 
台 主 机 能 够 伪装 成 另外 一 台 主 机 ,其 实质 就 是 让 一 台 主 机 扮演 另 一 台 主 机 ,而 这 人 台 主 机 往往 
具有 某 种 特权 ,或 者 被 另外 的 主机 所 信任 。IP 欺骗 大 多 是 利用 主机 之 间 的 信任 关系 发 动 
的 ,所 以 在 介绍 IP 欺骗 攻击 之 前 , 先 说 明 一 下 什么 是 信任 关系 ,以 及 信任 关系 的 建立 。 

1. IP 欺骗 攻击 中 的 信任 关系 

在 UNIX 主机 中 ,存在 一 种 特殊 的 信任 关系 。 假 设 有 两 台 主 机 A 和 B, 上 面 各 有 一 个 
账户 Alice, 在 使 用 中 会 发 现 ,在 A 上 使 用 ,要 输入 在 A 上 的 相应 账户 Alice, 主 机 A 和 B 把 
Alice 当 作 两 个 互 不 相关 的 用 户 , 显 然 有 些 不 方便 。 为 了 减少 这 种 不 便 , 可 以 在 主机 A 和 B 
中 建立 起 两 个 账户 的 相互 信任 关系 。 

(1) 在 A 和 B 的 /home/Alice 目录 中 创建 .rhosts 文件 。 

(2) 从 主机 A 的 home 目录 中 用 命令 echo "B Alice"> 一 . /rhosts 实现 A 和 B 的 信任 关系 。 

这 时 ,从 主机 B 上 就 能 毫 无 阻碍 地 使 用 任何 以 r 开头 的 远程 调用 命令 ,如 rlogin、rsh 和 
rcp 等 ,而 无 须 输入 口令 验证 就 可 以 直接 登录 到 A 上 。 这 些 命令 将 允许 以 地 址 为 基础 的 验 
证 ,允许 或 拒绝 以 IP 地 址 为 基础 的 存 取 服务 。rlogin 是 一 个 简单 的 客户 机 /服务 器 程序 , 它 
的 作用 和 Telnet 差不多 ,不同 的 是 Telnet 完全 依赖 口令 验证 ,而 rlogin 是 基于 信任 关系 的 
验证 。 它 使 用 了 TCP 进行 传输 。 当 用 户 从 一 台 主 机 登录 到 另 一 台 主 机 上 ,并且 目标 主机 信 
任 它 ,rlogin 将 允许 在 不 应 答 口 令 的 情况 下 使 用 目标 主机 上 的 资源 ,验证 完全 基于 源 主机 的 
IP 地 址 。 

2. IP 欺骗 的 原理 


IP 欺骗 通过 利用 主机 之 间 的 正常 信任 关系 来 发 动 。 既 然 A 和 B 之 间 的 信任 关系 是 基 
于 IP 地址 的 ,如 果 能 够 冒充 BB 的 IP, 那 么 就 可 以 使 用 信任 
rlogin 登录 到 A, 而 不 需要 任何 口令 验证 。 这 就 是 IP 
欺骗 最 根本 的 理论 依据 ,如 图 5. 16 所 示 。 但 TCP 对 
IP 进行 了 进一步 的 封装 , 它 是 一 种 相对 可 靠 的 协议 。 
下 面 看 一 下 正常 的 TCP/IP 的 会 话 过 程 。 

由 于 TCP 是 面向 连接 的 协议 ,因此 双方 正式 传输 
数据 之 前 需要 三 次 握手 来 建立 连接 。 假 设 还 是 A 和 B 








图 5.16 IP 和 欺骗 示意 图 


第 5 章 网 络 攻击 与 防范 技术 133 





两 台 主 机 进行 通信 ,B 首先 发 送 带 有 SYN 标志 的 数据 通知 A 建立 TCP 连接 。TCP 的 可 靠 
性 就 是 由 数据 包 中 的 数据 序列 SYN 和 数据 确认 标志 ACK 来 保证 的 。B 将 TCP 包头 中 的 
SYN 设 为 自己 本 次 连接 中 的 初始 值 (ISN) 。 

当 A 收 到 B 的 SYN 包 之 后 ,A 会 发 送 给 B 一 个 带 有 SYN 十 ACK 标志 的 数据 段 , 告 知 
自己 的 ISN, 并 确认 B 发 送 来 的 第 一 个 数据 段 , 将 ACK 设置 为 B 的 SYN 十 1。 

当 B 确认 收 到 A 的 SYN 十 ACK 数据 包 后 ,将 ACK 设置 成 A 的 SYN 十 1。A 收 到 B 
的 ACK 后 ,连接 成 功 建立 ,双方 即 可 正式 传输 数据 。 图 5. 17 所 示 为 TCP 三 次 握手 的 连接 
过 程 。 





E 机 B E 机 A 
SYN(Seq=x) 









SYN/ACK 
(Seq=y, ACK=x+1) 





ACK(Seq=x+1, ACK=y+1) 





一 | 





图 5.17 TCP 三 次 握手 的 连接 过 程 


很 明显 ,假如 冒充 B 对 A 进行 攻击 ,就 要 先 使 用 B 的 IP 地 址 发 送 SYN 标志 给 A, 但 是 
当 A 收 到 SYN 标志 后 ,并 不 会 把 SYN 十 ACK 发 送 到 攻击 者 主机 上 ,而 是 发 送 到 真正 的 B 
上 ,这 时 IP 欺骗 就 失败 了 ,因为 B 根 本 无 法 发 送 SYN 请 求 。 所 以 要 冒充 B, 首 先 要 让 B 失 
去 工作 能 力 ,也 就 是 所 谓 的 拒绝 服务 攻击 ,设法 使 B 瘫痪 。 

前 面 已 经 提 到 ,要 对 目标 主机 进行 攻击 ,必须 知道 目标 主机 使 用 的 数据 包 序 列 号 。 攻 击 
者 首先 与 被 攻击 主机 的 一 个 端口 (SMTP 是 一 个 很 好 的 选择 ) 建 立 起 正常 连接 。 通 常 这 个 
过 程 被 重复 若干 次 ,并 将 目标 主机 最 后 所 发 送 的 ISN 存储 起 来 。 黑 客 还 需要 估计 他 的 主机 
与 被 信任 主机 之 间 的 RTT 时 间 ( 往 返 时 间 ), 这 个 RTT 时 间 是 通过 多 次 统计 平均 求 出 的 。 
RTT 对 于 估计 下 一 个 ISN 非常 重要 ,因为 每 秒 钟 ISN 增加 128 000, 每 次 连接 增加 64 000。 
现在 就 不 难 估计 出 ISN 的 大 小 了 , 它 是 128 000 乘 以 RTT 的 一 半 , 如 果 此 时 目标 主机 刚刚 
建立 过 一 个 连接 ,那么 再 加 上 一 个 64 000。 在 估计 ISN 大 小 后 ,立即 就 开始 攻击 。 当 黑客 
虚假 的 TCP 数据 包 进 入 目标 主机 时 ,根据 估计 的 准确 程度 会 发 生 以 下 不 同情 况 。 

(1) 如 果 估计 的 序列 号 是 准确 的 ,进入 的 数据 将 被 放置 在 接收 缓冲 区 以 供 使 用 。 如 果 
估计 的 序列 号 小 于 期 待 的 数字 ,那么 将 被 放弃 。 

(2) 如 果 估 计 的 序列 号 大 于 期 待 的 数字 ,并且 在 滑动 窗口 (缓冲 ) 之 内 ,那么 该 数据 被 认 
为 是 一 个 未 来 的 数据 ,TCP 模块 将 等 待 其 他 缺少 的 数据 。 

(3) 如 果 估 计 的 序列 号 大 于 期 待 的 数字 ,并且 不 在 滑动 窗口 之 内 ,那么 TCP 将 会 放弃 
该 数据 ,并 返回 一 个 期 望 获得 的 数据 序列 号 。 

攻击 者 伪装 成 被 信任 的 主机 IP, 然 后 向 目标 主机 的 513 端口 (rlogin) 发 送 连 接 请 求 。 
目标 主机 立刻 对 连接 请 求 作出 响应 ,并 更 新 SYN 十 ACK 确认 包 给 被 信任 主机 ,因为 此 时 被 
信任 主机 仍然 处 于 瘫痪 状态 , 它 当 然 无 法 收 到 这 个 包 , 紧 接着 攻击 者 向 目标 主机 发 送 ACK 
数据 包 , 该 包 使 用 前 面 估 计 的 序列 号 加 1。 如 果 攻 击 者 估计 正确 , 则 目标 主机 将 会 接收 该 
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ACK ,连接 就 可 正式 建立 。 这 时 就 可 以 将 cat ' 十 十 > 一 /. rhosts 命令 发 送 过 去 ,这 样 完成 
本 次 攻击 后 就 可 以 不 用 口令 直接 登录 到 目标 主机 上 。 如 果 达 到 这 一 步 , 一 次 完整 的 IP 欺骗 
就 完成 了 。 黑 客 已 经 在 目标 主机 上 得 到 了 一 个 Shell 权限 , 接 下 来 就 是 利用 系统 的 溢出 或 
错误 配置 扩大 权限 。 当 然 , 黑 客 的 最 终 目的 还 是 获得 服务 器 的 root 权限 。 

从 上 面 的 攻击 过 程 可 以 看 出 ,一 般 地 ,一 个 IP 欺骗 攻击 的 整个 步 又 如 下 。 

(1) 让 被 信任 主机 的 网 络 暂时 瘫痪 ,以 免 对 攻击 造成 干扰 。 

(2) 连接 到 目标 主机 的 某 个 端口 ,猜测 ISN 基 值 和 增加 规律 。 

(3) 把 源 地 址 伪装 成 被 信任 主机 ,发 送 带 有 SYN 标志 的 数据 段 请 求 连接 。 

(4) 等 待 目 标 主机 发 送 SYN 十 ACK 包 给 已 经 瘫痪 的 主机 。 

(5) 再 次 伪装 成 被 信任 主机 向 目标 主机 发 送 ACK ,此 时 发 送 的 数据 段 带 有 预测 目标 主 
机 的 ISN 十 1。 

(6) 连接 建立 ,发 送 命 令 请 求 。 

3. IP 欺骗 的 防范 

对 于 来 自 网 络 外 部 的 欺骗 ,防范 的 方法 很 简单 ,只 需要 在 局 域 网 的 对 外 路 由 器 上 加 一 个 
限制 设置 就 可 以 实现 了 , 即 在 路 由 器 的 设置 里 面 禁 止 运 行 由 外 部 来 的 但 声称 来 自 于 网 络 内 
部 的 信息 包 。 

对 于 来 自 局 域 网 外 部 的 IP 欺骗 攻击 ,也 可 以 通过 防火 墙 进行 防范 。 但 对 于 来 自 内 部 的 
攻击 ,通过 设置 防火 墙 起 不 了 什么 作用 ,这 时 应 该 注意 内 部 网 的 路 由 器 是 否 支持 内 部 接口 。 
如 果 路 由 器 支持 内 部 网 络 子 网 的 两 个 接口 , 则 必须 提高 警惕 ,因为 它 很 容易 受到 IP 欺骗 。 

通过 对 信息 包 的 监控 来 检查 IP 欺骗 攻击 是 非常 有 效 的 方法 ,使 用 netlog 等 信息 包 检 
查 工具 对 信息 的 源 地 址 和 目的 地 址 进行 验证 ,如 果 发 现 了 信息 包 来 自 两 个 以 上 的 不 同 地 址 ， 
则 说 明 系 统 有 可 能 受到 了 IP 欺骗 攻击 。 


5.8.2 ARP 欺骗 攻击 与 防范 


在 局 域 网 中 ,实际 传输 的 数据 是 按照 帧 进行 传输 的 , 帧 里 面 有 目标 主机 的 MAC 地 址 。 
一 台 主 机 要 与 男 一 台 主 机 进行 直接 通信 ,必须 知道 目标 主机 的 MAC 地 址 ,目标 MAC 地 址 
就 是 通过 ARP(Address Resolution Protocol, 地 址 解析 协议 ) 获 得 的 。 地 址 解析 ,就 是 主机 
在 发 送 帧 之 前 将 目标 IP 地 址 转换 成 目标 MAC 地 址 的 过 程 。ARP 的 基本 功能 就 是 通过 目 
标 设备 的 IP 地 址 ,查询 目标 设备 的 MAC 地 址 ,以 保证 通信 的 顺利 进行 。 

ARP 欺骗 攻击 是 针对 ARP 的 一 种 攻击 技术 ,可 以 造成 内 部 网 络 的 混乱 ,让 某 些 被 欺骗 
的 计算 机 无 法 正常 访问 网 络 , 让 网 关 无 法 同 客户 机 正常 通信 。 一 般 来 说 ,IP 地 址 的 冲突 可 
以 通过 多 种 方法 和 手段 来 避免 ,而 ARP 工作 在 最 底层 , 当 ARP 缓存 出 错时 ,系统 并 不 会 判 
断 ARP 缓存 正确 与 否 ,无 法 像 IP 冲突 那样 给 出 提示 ,而 且 很 多 黑客 工具 可 以 随时 发 送 
ARP 欺骗 数据 包 和 ARP 恢复 数据 包 , 这 样 就 可 以 实现 在 一 台 普 通 计算 机 上 通过 发 送 ARP 
数据 包 的 方式 来 控制 网 络 中 任何 一 台 计 算 机 的 网 络 连接 ,甚至 还 可 以 直接 对 网 关 进行 攻击 ， 
让 所 有 连接 网 络 的 计算 机 都 无 法 正常 上 网 。 

1. ARP 欺骗 攻击 的 原理 


当 某 机 器 A 要 向 机 器 B 发 送 报 文 , 会 查询 本 地 的 ARP 缓存 表 , 找 到 B 的 IP 地 址 对 应 
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的 MAC 地 址 后 就 进行 数据 传输 ,如 果 未 找到 , 则 广播 一 个 ARP 请 求 报 文 ,请 求 IP 地 址 为 
B 的 主机 应 答 其 物理 地 址 。 网 上 所 有 主机 包括 B 都 收 到 ARP 请 求 ,但 只 有 主机 B 响应 ,于 
是 向 A 主机 发 送 一 个 ARP 响应 报 文 ,其 中 就 包含 B 的 MAC 地 址 。A 接收 到 B 的 应 答 后 ， 
就 会 更 新 本 地 ARP 缓存 ,接着 使 用 这 个 MAC 地 址 发 送 数据 。 因 此 ,本 地 高 速 缓存 的 这 个 
ARP 表 是 本 地 网 络 畅通 的 基础 ,并 且 这 个 缓存 是 动态 的 。 

ARP 欺骗 攻击 就 是 通过 伪造 IP 地 址 和 MAC 地 址 实现 ARP 欺骗 ,过 程 如 下 。 

(1) 假设 有 这 样 一 个 网 络 ,包含 一 个 交换 机 ,连接 了 3 台 机 器 ,依次 是 计算 机 A、B、C。 

Q@ A 的 地 址 为 IP: 192. 168.1.1,MAC: AA-AA-AA-AA-AA-AA。 

@ B 的 地 址 为 IP: 192. 168. 1. 2,MAC: BB-BB-BB-BB-BB-BB。 

@ C 的 地 址 为 IP: 192. 168. 1.3,MAC: CC-CC-CC-CC-CC-CC。 

(2) 正常 情况 下 ,在 A 计算 机 上 运行 ARP-A ,查询 ARP 缓存 表 , 应 该 出 现 如 下 信息 : 

Interface: 192.168.1.1 on Interface 0x1000003 

Internet Address Physical Address Type 

192.168.1.3 CC-CC-CCc-CC-CC- CC dynanic 

(3) 在 计算 机 B 上 运行 ARP 欺骗 程序 ,发 送 ARP 欺骗 包 。B 向 A 发 送 一 个 伪造 的 
ARP 应 答 ,这 个 应 答 中 的 数据 为 : 发 送 方 IP 地 址 是 192. 168. 1.3(C 的 IP 地址),MAC 地 
址 是 DD-DD-DD-DD-DD-DD(C 的 MAC 地 址 本 来 应 该 是 CC-CC-CC-CC-CC-CC)。 当 A 接 
收 到 B 伪造 的 ARP 应 答 ,就 会 更 新 本 地 的 ARP 缓存 。A 不 知道 这 是 从 B 发 过 来 的 ,A 这 
里 只 有 192. 168. 1. 3(C 的 IP 地址 ) 和 无 效 的 MAC 地 址 DD-DD-DD-DD-DD-DD。 

(4) 在 A 计算 机 上 运行 ARP-A 查询 ARP 缓存 信息 ,原来 正确 的 信息 现在 也 出 现 了 
错误 。 

Interface: 192.168.1.1 on Interface 0x1000003 

Internet Address Physical Address Type 

192.168.1.3 DD- DD- DD- DD- DD- DD dynanmic 

(5) 当 A 计算 机 访问 C 计算 机 时 ,MAC 地 址 会 被 ARP 协议 错误 地 解析 为 DD-DD- 
DD-DD-DD-DD。 

当局 域 网 中 的 一 台 机 器 反复 向 其 他 机 器 ,特别 是 网 关 发 送 这 样 无 效 的 假冒 ARP 应 答 
信息 包 , 严 重 的 阻塞 就 会 开始 。 由 于 网 关 MAC 地 址 错误 ,因此 从 网 络 中 计算 机 发 来 的 数据 
无 法 正常 发 送 到 网 关 , 自 然 无 法 正常 上 网 ,就 造成 了 无 法 访问 外 网 的 问题 。 另 外 ,由 于 很 多 
时 候 网 关 还 控制 着 局 域 网 ,这 时 LAN 访问 也 就 出 问题 了 。 

2. ARP 攻击 防护 

目前 ,对 于 ARP 攻击 防护 主要 有 两 种 方法 : 绑 定 IP 和 MAC ,使 用 ARP 防护 软件 。 

1) 静态 绑 定 

ARP 攻击 防护 最 常用 的 方法 就 是 做 IP 和 MAC 的 静态 绑 定 ,在 局 域 网 内 把 主机 和 网 
关 都 做 IP 和 MAC 绑 定 。 欺 骗 是 通过 ARP 的 动态 实时 的 规则 欺骗 内 网 机 器 ,所 以 把 ARP 
全 部 设置 为 静态 ,可 以 解决 对 内 网 计算 机 的 欺骗 。 同 时 在 网 关 也 要 进行 IP 和 MAC 地址 的 
静态 绑 定 ,这样 双 向 绑 定 才 比较 保险 。 

IP 和 MAC 静态 绑 定 可 以 通过 命令 “arp -s IP MAC 地 址 ?来 实现 ,如 arp -s 192. 168. 1. 
1 AA-AA-AA-AA-AA-AA。 
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当然 ,对 于 网 络 中 的 每 台 主机 都 做 静态 绑 定 ,工作 量 非常 大 ,而 且 在 计算 机 每 次 启动 以 
后 都 必须 重新 绑 定 ,因此 操作 上 不 是 很 方便 。 

2) 使 用 ARP 防护 软件 

ARP 类 防护 软件 的 工作 原理 是 过 滤 所 有 的 ARP 数据 包 , 对 每 个 ARP 应 答 进行 判断 ， 
只 有 符合 规则 的 ARP 包 才 会 被 进一步 处 理 , 这 样 就 防止 了 计算 机 被 欺骗 。 同 时 对 每 个 发 
出 去 的 ARP 应 答 都 进行 检测 ,只 有 符合 规则 的 ARP 包 才 会 被 发 送出 去 ,这 样 就 实现 了 对 
发 送 攻击 的 拦截 。 例 如 ,360ARP 防火 墙 就 可 以 实现 该 功能 。 


习 题 5 
一 、 选 择 题 
本 ) 是 使 计算 机 疲 于 响 应 这 些 经 过 伪装 的 不 可 到 达 客 户 的 请 求 , 从 而 使 计算 机 不 
能 响应 正常 的 客户 请 求 等 ,达到 切断 正常 连接 的 目的 。 
A. 包 攻 击 B. 拒绝 服务 攻击 
C. 缓冲 区 溢出 攻击 D. 口令 攻击 
1 ) 就 是 要 确定 你 的 IP 地 址 是 否 可 以 到 达 ,运行 哪 种 操作 系统 ,运行 哪些 服务 器 
程序 ,是 否 有 后 门 存在 。 
A. 对 各 种 软件 漏洞 的 攻击 B. 缓冲 区 溢出 攻击 
C. IP 地 址 和 端口 扫描 D. 服务 型 攻击 
3. 分 布 式 拒绝 服务 攻击 (DDoS) 分 为 3 层 :( ) . 主 控 端 \ 代 理 端 。 三 者 在 攻击 中 扮 
演 着 不 同 的 角色 。 
A. 其 他 B. 防火 墙 C. 攻击 者 D. 受害 主机 
4. 有 一 种 称 为 嗅 探 器 ( 。””) 的 软件 , 它 是 通过 捕获 网 络 上 传送 的 数据 包 来 收集 敏感 
数据 ,这 些 数据 可 能 是 用 户 的 账号 和 密码 ,或 者 一 些 机密 数 据 等 。 
A. softice B. Unicode C. W32Dasm D. Sniffer 
5. 攻击 者 在 攻击 之 前 的 首要 任务 就 是 要 明确 攻击 目标 ,这 个 过 程 通常 称 为 ( js 
A. 安全 扫描 B. 目标 探测 C. 网 络 监 听 D. 缓冲 区 溢出 
6. 从 技术 上 来 讲 , 网 络 容 易 受到 攻击 的 原因 主要 是 由 于 网 络 软 件 不 完善 和 ( ) 本 身 
存在 安全 缺陷 造成 的 。 
A. 网 络 协议 B. 硬件 设备 C. 操作 系统 D. 人 为 破坏 


7. 每 当 新 的 操作 系统 、 服 务 器 程序 等 软件 发 布 之 后 ,黑客 就 会 利用 ( ) 寻 找 软件 漏 
洞 ,从 而 达到 导致 计算 机 泄密 、 被 非法 使 用 ,甚至 崩溃 的 目的 。 
A. IP 地 址 和 端口 扫描 B. 口令 攻击 
C. 各 种 软件 漏洞 攻击 程序 D. 服务 型 攻击 
8. ) 攻 击 是 指 借助 于 客户 机 /服务 器 技术 ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 ， 
对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 
A. 分 布 式 拒绝 服务 B. 拒绝 服务 
C. 缓冲 区 溢出 攻击 D. 口令 攻击 
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9. (人 ) 是 一 种 破坏 网 络 服务 的 技术 ,其 根本 目的 是 使 受害 主机 或 网 络 失去 及 时 接收 
处 理 外 界 请 求 ,或 者 及 时 回应 外 界 请 求 的 能 力 。 
A. 包 攻 击 B. 拒绝 服务 
C. 缓冲 区 溢出 攻击 D. 口令 攻击 
二 、 填 空 题 
1. 分 布 式 拒绝 服务 攻击 的 英文 缩写 是 。 
2.， 窃听 与 分 析 网 络 中 传输 数据 包 的 程序 通常 称 为 
是 一 种 既 简单 又 有 效 的 攻击 方式 ,通过 某 些 手段 使 得 目标 系统 或 网 络 不 能 
提供 正常 的 服务 。 
4. 是 针对 ARP 的 一 种 攻击 技术 ,可 以 造成 内 部 网 络 的 混乱 ,让 某 些 被 欺骗 的 
计算 机 无 法 正常 访问 网 络 。 
5. 是 一 种 比较 常见 、 危 害 严重 的 网 络 攻 击 , 它 主要 针对 Web 服务 器 端的 特定 
三 、 简 答题 
. 什么 是 目标 探测 ? 目标 探测 的 方法 主要 有 哪些 ? 
.从 整个 信息 安全 角度 来 看 ,目前 扫描 器 主要 有 哪 几 种 类 型 ? 
. 如 何 有 效 防 止 端 口 扫 描 ? 
. 网络 监听 的 主要 原理 是 什么 ? 
. 如何 检测 网 络 监听 ? 如 何 防范 网 络 监 听 ? 
. 指出 下 述 程序 段 存在 的 问题 ,并 修改 它 。 


char str[10]; 
char bigstr[20]; 


中 no no 吓 


while( scanf(" % 20s",bigstr)! = NULL) 
中 

bigstr[20] = \0'; 

strcpy( str, bigstr); 


7. 下 面 的 程序 是 一 个 缓冲 区 溢出 演示 程序 ,请 编译 和 执行 一 下 ,逐渐 增加 输入 字符 个 
数 ,分 析 程 序 执行 结果 。 如 何 执行 hacker 函数 ? 


#include < stdio.h> 
#include < string.h> 
void function(const char * input) 
{ 
char buffer[5]; 
printf("my stack looks:\ngp \ngpN\ngpNngpN\ngpNngpN\ngpN\ngpN\ngp N\nNvn"); 
strcpy(buffer, input); 
printf("%s \n",buffer); 
printf("Now my stack looks like: \ngp \ngpN\ngp\ngpN\ngpN\ngp\ngpN\ngpN\ngpNnvn"); 
} 
void hacker (void) 
{ 
printf( "Oh, I've been hacked! \n"); 
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} 
int main( int argc, char * argv[]) 


{ 
printf("address of function = %p \n",function); 
printf("address of hacker = % p \n", hacker); 
function(argv[1]); 
return 0; 


) 

提示 : 

(1) 在 Visual C++ 环境 中 ,由 于 Debug 模式 包含 了 对 栈 问题 进行 检测 的 操作 ,因此 需要 
在 Release 模式 下 编译 和 运行 。 

(2) 根据 屏幕 显示 结果 找到 EBP 和 RET 的 地 址 。 

(3) 为 了 能 使 程序 执行 hacker 函数 ,可 编写 一 段 名 为 hacker. pl 的 pearl 脚本 。 

$ arg = "aaaaaaaaa…". "hacker 函数 地 址 "; 

$ cmd = "该 程序 文件 名 "，$ arg; 

system( $ cmd); 

pearl hacker. pl 

这 样 ,程序 就 可 能 会 执行 hacker 函数 (取决 于 所 使 用 的 编译 器 ) 。 

8. 什么 是 拒绝 服务 (DoS) 攻击 ? 什么 是 分 布 式 拒绝 服务 (DDoS) 攻 击 ? 

9. 如 何 有 效 防范 DDoS 攻击 ? 

10. 什么 是 欺骗 攻击 ? 简 述 欺骗 攻击 的 原理 。 

11. IP 欺骗 主要 是 针对 UNIX 操作 系统 的 ,在 Windows 操作 系统 中 有 没有 IP 欺骗 的 
问题 ? 


第 6 童 ”防火墙 技术 


随 着 因特网 的 发 展 ,网 络 的 安全 性 越 来 越 成 为 网 络 建设 中 需要 考虑 的 一 个 关键 因素 , 企 
业 及 组 织 为 确保 内 部 网 络 及 系统 的 安全 , 均 设置 不 同 层次 的 信息 安全 解决 机 制 ,而 防火 墙 
(FirewalD) 就 是 各 企业 及 组 织 在 设置 信息 安全 解决 方案 中 最 常 被 优先 考虑 的 安全 控 管 
机 制 。 


6.1 防火 墙 概述 


古 时 候 , 人 们 常 在 寅 所 之 间 砌 起 一 道 砖 墙 ,一 旦 火灾 发 生 , 它 能 够 防止 火势 蔓延 到 别 的 
寓所。 现在 ,如 果 一 个 网 络 连接 到 了 Internet 上 , 它 的 用 户 就 可 以 方便 地 访问 外 部 世界 并 与 
之 通信 。 但 同时 ,外 部 世界 也 同样 可 以 访问 该 网 络 并 与 之 交互 。 为 了 安全 起 见 ,可 以 在 该 网 
络 和 Internet 之 间 插 入 一 个 中 介 系 统 , 竖 起 一 道 安全 屏障 。 这 道 屏障 的 作用 是 阻 断 来 自 外 
部 网 络 对 本 网 络 的 威胁 和 人 侵 , 提 供 扼守 本 网 络 的 安全 和 审计 的 唯一 关卡 , 它 的 作用 与 古 时 
候 的 防火 砖 墙 有 类 似 之 处 ,因此 把 这 个 屏障 称 为 防火墙 ”。 

在 计算 机 中 ,防火 墙 是 一 种 装置 , 它 是 由 软件 或 硬件 设备 组 合 而 成 的 ,通常 处 于 企业 的 
内 部 局 域 网 (Intranet) 与 Internet 之 间 ( 图 6. 1) ,限制 Internet 用 户 对 内 部 网 络 的 访问 ,以 
及 管理 内 部 用 户 访问 外 界 的 权限 。 换 言 之 ,防火 墙 是 一 个 位 于 被 认为 是 安全 和 可 信和 的 内 部 
网 络 与 一 个 被 认为 是 不 安全 和 可 信 的 外 部 网 络 ( 通 常 是 Internet) 之 间 的 封锁 工具 。 防 火 墙 
技术 是 一 种 被 动 的 技术 ,因为 它 假设 网 络 边界 的 存在 , 它 对 内 部 的 非法 访问 难以 有 效 地 控 
制 。 因 此 防火 墙 只 适合 于 相对 独立 的 网 络 ,如 企业 内 部 的 局 域 网 络 等 。 










Internet 


(因特网 ) 


防火 墙 
图 6.1 防火 墙 示意 图 


6.1.1 防火 墙 的 定义 


顾名思义 ,防火 墙 是 一 种 隔离 设备 。 防 火 墙 是 一 种 高 级 访问 控制 设备 ,是 置 于 不 同 网 络 
安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 安全 域 之 间 通 信 流 的 唯一 通道 ,能 根据 用 
户 设置 的 安全 策略 控制 进出 网 络 的 访问 行为 。 

从 专业 角度 讲 , 防 火 墙 是 位 于 两 个 或 多 个 网 络 之 间 ,实施 网 络 访问 控制 的 组 件 集合 。 从 
用 户 角 度 讲 ,防火 墙 就 是 被 放置 在 用 户 计算 机 与 外 网 之 间 的 防御 体系 ,从 外 部 网 络 发 往 用 户 
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计算 机 的 所 有 数据 都 要 经 过 其 判断 处 理 后 才能 决定 能 否 将 数据 交 给 计算 机 ,一 旦 发 现 数据 
异常 或 有 害 ,防火 墙 就 会 将 数据 拦截 ,从 而 实现 对 计算 机 的 保护 。 

防火 墙 是 网 络 安全 策略 的 组 成 部 分 , 它 只 是 一 个 保护 装置 ,通过 检测 和 控制 网 络 之 间 的 
信息 交换 和 访问 行为 来 实现 对 网 络 安 全 的 有 效 管理 ,其 主要 目的 就 是 保护 内 部 网 络 的 安全 。 

防火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 工具 , 它 能 允许 用 户 “ 同 意 ” 的 人 和 数 
据 进 入 用 户 的 网 络 , 同 时 将 用 户 “ 不 同意 ”的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑 
客 来 访问 用 户 的 网 络 。 换 句 话 说 ,如 果 不 通过 防火 墙 ,公司 内 部 的 人 就 无 法 访问 Internet， 
Internet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 


6.1.2 防火 墙 的 特性 


防火 墙 是 保障 网 络 安全 的 一 个 系统 或 一 组 系统 ,用 于 加 强 网 络 间 的 访问 控制 ,防止 外 部 
用 户 非法 使 用 内 部 网 络 的 资源 ,保护 内 部 网 络 的 设备 不 被 破坏 ,防止 内 部 网 络 的 敏感 数据 被 
窃取 。 防 火 墙 应 具备 以 下 3 个 基本 特性 。 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 这 是 防火 墙 所 处 
网 络 位 置 特性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通 
道 , 才 可 以 全 面 ` 有 效 地 保护 企业 内 部 网 络 不 受 侵害 。 根 据 美国 国家 安全 局 制定 的 《信息 保 
障 技术 框架 》, 防 火 墙 适 用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 边界 的 安全 保护 设备 。 网 
络 边界 即 采 用 不 同安 全 策略 的 两 个 网 络 的 连接 处 ,如 用 户 网 络 和 因特网 之 间 的 连接 、 用 户 网 
络 和 其 他 业务 往来 单位 的 网 络 连 接 、 用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 的 目的 
就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ,通过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 
流 , 实 现 对 进 、 出 内 部 网 络 的 服务 和 访问 的 审计 与 控制 。 

(2) 只 有 符合 安全 策略 的 数据 流 才 能 通过 防火 墙 。 防 火 墙 最 基本 的 功能 是 确保 网 络 流 
量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 一 条 链 路 转发 到 另外 的 链 路 上 。 原 始 的 
防火 墙 是 一 台 “ 双 穴 主 机 ”, 即 具备 两 个 网 络 接口 ,同时 拥有 两 个 网 络 层 地 址 。 防 火 墙 将 网 络 
上 的 流量 通过 相应 的 网 络 接口 进行 接收 ,按照 OSI 协议 栈 的 7 层 结构 顺序 上 传 , 在 适当 的 
协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 
于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 因 此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 
桥接 或 路 由 器 的 、 多 端口 的 (网 络 接口 三 2) 转 发 设备 , 它 跨 接 于 多 个 分 隔 的 物理 网 段 之 间 , 并 
在 报 文 转发 过 程 中 完成 对 报 文 的 审查 工作 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻击 能 力 。 这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 络 
安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 ,就 像 一 个 边界 卫士 一 样 , 每 时 每 刻 都 要 面 
对 黑客 的 和 人 侵 , 这 样 就 要 求 防火 墙 自身 要 具有 非常 强 的 抗击 入 侵 能 力 。 它 之 所 以 具有 这 
么 强 的 功能 ,防火 墙 操作 系统 本 身 是 关键 ,只 有 自身 具有 完整 信任 关系 的 操作 系统 才 可 
以 保证 系统 的 安全 性 。 其 次 就 是 防火 墙 自 身 具有 非常 低 的 服务 层次 ,除了 专门 的 防火 墙 谋 
人 系统 外 ,再 没有 其 他 应 用 程序 在 防火 墙 上 运行 。 


6.1.3 防火墙 的 功能 


笼统 地 说 ,防火 墙 应 具备 以 下 功能 。 
(1) 阻止 易 受 攻击 的 服务 进入 内 部 网 。 一 个 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提 
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高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 
的 应 用 协议 才能 通过 防火 墙 ,因此 网 络 环境 变 得 更 安全 。 例 如 ,防火 墙 可 以 禁止 诸如 不 安全 
的 NFS 协议 进出 受 保护 的 网 络 ,这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 
部 网 络 。 防 火 墙 同时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 
ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 管 
理 员 。 

(2) 集中 安全 管理 。 通 过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 机 制 ( 如 口 
令 . 加 密 、 身 份 认证 和 审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 
防火 墙 的 集中 安全 管理 更 经 济 。 例 如 ,在 网 络 访问 时 ,一 次 一 密 口 令 (OTP) 系 统 和 其 他 的 
身份 认证 系统 完全 可 以 不 必 分 散在 各 个 主机 上 ,而 是 集中 在 防火 墙 上 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 。 如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 防火 墙 就 
能 记录 下 这 些 访 问 并 作出 日 志 记 录 , 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 
动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 是 否 受 到 探测 和 攻击 的 详细 信息 。 另 外 , 收 
集 一 个 网 络 的 正常 使 用 和 误 用 情况 也 是 非常 重要 的 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威 
胁 分 析 等 而 言 也 是 非常 重要 的 。 

(4) 检测 扫描 计算 机 的 企图 。 防 火 墙 还 可 以 检测 到 端口 扫描 , 当 计 算 机 被 扫描 时 ,防火 
墙 能 发 出 警告 ,可 以 通过 禁止 连接 来 阻止 攻击 ,可 以 跟踪 和 报告 进行 扫描 攻击 的 计算 机 IP 
地 址 。 

(5) 防范 特洛伊 木马 。 特 洛 伊 木马 会 在 计算 机 上 企图 打开 TCP/IP 端口 ,然后 连接 到 
外 部 计算 机 与 黑客 进行 通信 。 用 户 可 以 指定 一 个 合法 通过 防火 墙 的 应 用 程序 列表 ,任何 不 
在 列表 中 的 木马 程序 进行 外 部 通信 连接 时 都 会 被 拒绝 。 

(6) 防 病毒 功能 。 现 在 的 防火 墙 支持 防 病毒 功能 ,能 够 扫描 电子 邮件 附件 .FTP 下 载 的 
文件 内 容 , 防 止 或 减少 病毒 人 侵 。 从 HTTP 页 面 剥 离 Java Applet、ActiveX 等 小 程序 ,从 
Script 代码 中 检测 出 危险 代码 或 病毒 ,并 向 用 户 报警 。 

除了 安全 作用 外 ,防火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 
VPN。 通 过 VPN ,将 企 事业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 有 机 地 连 
成 一 个 整体 。 不 仅 省 去 了 专用 通信 线路 ,而且 为 信息 共享 提供 了 技术 保障 。 


6.1.4 防火 墙 的 局 限 性 


通常 ,人 们 认为 防火 墙 可 以 保护 处 于 它 身后 的 网 络 不 受 外 界 的 侵袭 和 干扰 。 但 随 着 网 
络 技术 的 发 展 , 网 络 结构 日 趋 复杂 ,传统 防火 墙 在 使 用 的 过 程 中 有 以 下 缺点 。 

(1) 传统 的 防火 墙 在 工作 时 ,入 侵 者 可 以 伪造 数据 绕 过 防火 墙 或 找到 防火 墙 中 可 能 开 
启 的 后 门 。 

(2) 防火 墙 不 能 防止 来 自 网 络 内 部 的 袭击 。 通 过 调查 发 现 , 有 将 近 一 半 以 上 的 攻击 都 
来 自 网 络 内 部 ,对 于 那些 故意 泄露 企业 机 密 的 员工 来 说 ,防火 墙 形同虚设 。 

(3) 由 于 防火 墙 性 能 上 的 限制 ,通常 它 不 具备 实时 监控 入 侵 行为 的 能 力 。 

(4) 防火 墙 不 能 防御 所 有 新 的 威胁 。 防 火 墙 仅仅 是 一 种 被 动 的 防护 手段 ,只 能 用 来 防 
备 已 知 的 威胁 ,无 法 检测 和 防御 最 新 的 拒绝 服务 攻击 及 蠕虫 病毒 的 攻击 。 

正 因为 如 此 ,认为 在 Internet 入 口 处 设置 防火 墙 系统 就 足以 保护 企业 网 络 安全 的 想 
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法 就 力不从心 了 。 也 正 是 这 些 因素 引起 了 人 们 对 入 侵 检测 技术 的 研究 及 开发 。 入 侵 检 
测 系统 (IDS) 可 以 弥补 防火 墙 的 不 足 ,为 网 络 提供 实时 的 监控 ,并 且 在 发 现 和 人 侵 的 初期 采 
取 相 应 的 防护 手段 。IDS 作为 必要 的 附加 手段 ,已 经 被 大 多 数组 织 机 构 的 安全 构架 所 


接受 。 
6.2 防火 墙 的 分 类 


6.2.1 防火 墙 的 发 展 简 史 
图 6. 2 所 示 为 防火 墙 技术 的 发 展 简 史 。 


1983 年 1989 年 1989 年 ”1992 年 1998 年 
包 过 滤 电路 层 代理 ”动态 包 过 滤 自 适 应 代理 


1980 年 本 ] 2000 年 


图 6.2 防火 墙 技术 的 发 展 简 史 


1. 第 一 代 防 火 墙 

第 一 代 防 火 墙 技术 几乎 与 路 由 器 同时 出 现 ,采用 了 包 过 滤 (Packet Filter) 技 术 。 

2. 第 二 代 和 第 三 代 防 火 墙 

1989 年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 第 二 代 防 火 墙 , 即 电 
路 层 防火 墙 ,同时 提出 了 第 三 代 防 火 墙 一 一 应 用 层 防 火 墙 (代理 型 防火 墙 ) 的 初步 结构 。 

3. 第 四 代 防 火 墙 

1992 年 , USC 信息 科学 院 的 BobBraden 开发 了 基于 动态 包 过 滤 (Dynamic Packet 
Filter) 技 术 的 第 四 代 防 火 墙 .后 来 演变 为 目前 所 说 的 状态 监视 (Stateful Inspection) 技 术 。 
1994 年 ,以 色 列 的 CheckPoint 公司 开发 出 了 第 一 个 采用 这 种 技术 的 商业 化 产品 。 

4. 第 五 代 防火 墙 

1998 年 ,NAI 公司 推出 了 一 种 自 适应 代理 (Adaptive Proxy) 技 术 ,并 在 其 产品 Gauntlet 
Firewall for Windows NT 中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋 予 了 全 新 的 意义 ,可 以 称 之 
为 第 五 代 防 火 墙 。 

5. 一 体 化 安全 网 关 UTM 

UTM 采用 统一 威胁 管理 ,是 在 防火 墙 基 础 上 发 展 起 来 的 ,具备 防火 墙 .IPS、 防 病毒 、 防 
垃圾 邮件 等 综合 功能 的 设备 。 由 于 同时 开启 多 项 功能 会 大 大 降低 UTM 的 处 理性 能 ,因此 
主要 用 于 对 性 能 要 求 不 高 的 中 低 端 领 域 。 在 中 低 端 领域 ,UTM 已 经 出 现 了 代替 防火 墙 的 
趋势 ,因为 在 不 开启 附加 功能 的 情况 下 . UTM 本 身 就 是 一 个 防火 墙 ,而 附加 功能 又 为 用 户 
的 应 用 提供 了 更 多 选择 。 在 高 端 应 用 领域 ,如 电信 人、 金融 等 行业 ,仍然 以 专用 的 高 性 能 防火 
墙 \IPS 为 主流 。 
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6.2.2 按 防火 墙 软 硬 件 形式 分 类 


如 果 从 防火 墙 的 软 、 硬 件 形式 来 分 ,防火 墙 可 以 分 为 软件 防火 墙 、 硬 件 防 火 墙 和 芯片 级 
防火 墙 。 

1. 软件 防火 墙 

软件 防火 墙 运行 于 特定 的 机 器 上 , 它 需 要 客户 预先 安装 好 计算 机 操作 系统 的 支持 ,一 般 
来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 , 俗 称 * 个 人 防火 墙 "。 软 件 防 火 墙 就 像 其 他 的 软件 产 
品 一 样 ,需要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 防 火 墙 厂商 中 做 网 络 版 软件 防火 
墙 最 出 名 的 莫 过 于 Checkpoint。 使 用 这 类 防火 墙 ,需要 网 管 对 所 工作 的 操作 系统 平台 比较 
熟悉 。 

2. 硬件 防火 墙 

这 里 所 说 的 硬件 防火 墙 是 指 所 谓 的 硬件 防火 墙 。 之 所 以 加 上 * 所 谓 ” 二 字 , 是 针对 芯 
级 防火 墙 来 说 的 。 它 们 最 大 的 差别 在 于 是 否 基 于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 
墙 都 是 这 种 所 谓 的 硬件 防火 墙 ,它们 都 基于 PC 架构 。 也 就 是 说 ,它们 和 普通 家 庭 用 的 PC 
没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 
有 旧版 本 的 UNIX、Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ,由 于 此 类 防火 墙 采用 的 依然 是 
别人 的 内 核 ,因此 会 受到 OS( 操 作 系 统 ) 本 身 的 安全 性 影响 。 

3. 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 ,没有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速度 更 快 , 处 理 能 力 更 强 ,性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen FortiNet 和 Cisco 等 。 这 类 防火 墙 由 于 是 专用 OS( 操 作 系统 ), 因 此 防火 墙 本 身 
的 漏洞 比较 少 ,不 过 价格 相对 比较 昂贵 。 


6.2.3 按 防火 墙 技 术 分 类 


防火 墙 技 术 总 体 上 可 分 为 “ 包 过 滤 型 "和 “应 用 代理 型 "两 大 类 。 前 者 以 以 色 列 的 
Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 为 代表 ,后 者 以 美国 NAI 公司 的 
Gauntlet 防火 墙 为 代表 。 

1. 包 过 滤 型 防火 墙 

包 过 滤 (Packet Filtering) 型 防火 墙 工作 在 OSI 网 络 参 考 模 型 的 网 络 层 和 传输 层 , 它 根 
据 数据 包头 源 地址 .目的 地 址 .端口 号 和 协议 类 型 等 标志 确定 是 否 允 许 通过 。 只 有 满足 过 滤 
条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 是 针对 各 个 
具体 的 网 络 服务 采取 的 特殊 处 理 方式 ,而 是 适用 于 所 有 网 络 服务 ; 之 所 以 廉价 ,是 因为 大 多 
数 路 由 器 都 提供 数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ; 之 所 以 有 效 , 是 
因为 它 能 满足 绝 大 多 数 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 , 包 过 滤 技术 出 现 了 两 种 不 同 版 本 , 称 为 “第 一 代 静 态 
包 过 滤 ” 防 火 墙 和 “第 二 代 动 态 包 过 滤 ” 防 火 墙 。 
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2. 应 用 代理 型 防火 墙 

由 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ,而且 对 一 些 特殊 的 报 文 攻击 ,仅仅 使 用 
过 滤 的 方法 并 不 能 消除 危害 (如 SYN 攻击 ICMP 洪水 等 ) ,因此 人 们 需要 一 种 更 全 面 的 防 
火 墙 保护 技术 ,在 这 样 的 需求 背景 下 ,采用 “应 用 代理 (Application Proxy) ”技术 的 防火 墙 诈 
生 了 。 

应 用 代理 型 防火 墙 是 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 它 完全 “阻隔 ?了 网 络 通信 流 ， 
通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 

在 代理 型 防火 墙 技术 的 发 展 过 程 中 , 它 也 经 历 了 两 个 不 同 的 版 本 : 第 一 代 应 用 网 关 代 
理 型 防火 墙 和 第 二 代 自 适应 代理 型 防火 墙 。 





6.3 防火墙 技 术 


从 工作 原理 角度 来 看 ,防火 墙 主要 可 以 分 为 网 络 层 防火 墙 和 应 用 层 防 火 墙 。 这 两 种 类 
型 防火 墙 的 具体 实现 技术 主要 有 包 过 滤 技术 .代理 服 务 技术 ,状态 检测 技术 和 NAT 技术 。 


6.3.1 包 过 滤 技术 


包 过 滤 防 火 墙 工作 在 网 络 层 , 通 常 基于 IP 数据 包 的 源 地 址 .目的 地 址 、 源 端口 和 目的 端 
口 进 行 过 滤 。 它 的 优点 是 效率 比较 高 ,对 用 户 来 说 是 透明 的 ,用 户 可 能 不 会 感觉 到 包 过 滤 防 
火 墙 的 存在 。 它 的 缺点 是 对 于 大 多 数 服务 和 协议 不 能 提供 安全 保障 ,无 法 有 效 地 区 分 同一 
IP 地 址 的 不 同 用 户 ,并 且 包 过 滤 防火 墙 难以 配置 ,监控 和 管理 ,不 能 提供 足够 的 日 志和 
报警 。 

数据 包 过 滤 技 术 是 在 网 络 层 对 数据 包 进 行 选择 ,选择 的 依据 是 系统 内 设置 的 过 滤 逻 
辑 ,被 称 为 访问 控制 列表 (Access Control List,ACL) 。 通 过 检查 数据 流 中 每 个 数据 包 的 源 
地 址 、 目 的 地 址 、 所 用 的 端口 号 和 协议 等 信息 或 它们 的 组 合 ,来 确定 是 否 允 许 该 数据 包 

数据 包 过 滤 防 火 墙 逻辑 简单 ,价格 便宜 ,易于 安装 和 使 用 , 它 通 常安 装 在 路 由 器 上 。 路 
由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 原 有 网 络 上 增加 这 样 的 防火 墙 几 
平 不 需要 增加 任何 额外 的 费用 。 

1. 包 过 滤 模型 


包 过 滤 防 火 墙 一 般 有 一 个 包 检 查 模块 ,可 以 根据 数据 包头 中 的 各 项 信息 来 控制 站 点 与 
站 点 、 站 点 与 网 络 、 网 络 与 网 络 之 间 的 相互 访问 ,但 不 能 控制 传输 的 数据 内 容 , 因 为 内 容 是 应 
用 层 数据 。 

包 检 查 模块 应 该 深入 到 操作 系统 的 核心 ,在 操作 系统 或 路 由 器 转发 包 之 前 拦截 所 有 的 
数据 包 。 当 包 过 滤 防 火 墙 安装 在 网 关上 之 后 , 包 过 滤 检 查 模块 深入 到 系统 的 网 络 层 和 数据 
链 路 层 之 间 , 即 TCP 层 和 IP 层 之 间 。 抢 在 操作 系统 或 路 由 器 的 TCP 层 之 前 对 IP 包 进 行 
处 理 。 因 为 数据 链 路 层 事实 上 就 是 网 卡 (NIC) ,网 络 层 是 第 一 层 协议 栈 , 所 以 包 过 滤 防 火 墙 
位 于 软件 层次 的 最 底层 。 
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(1) 第 一 代 静 态 包 过 滤 类 型 防火 墙 技术 。 这 类 防火 墙 几乎 是 与 路 由 器 同时 产生 的 
(图 6.3) , 它 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确定 其 是 否 与 某 一 条 包 过 滤 规 
则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 包 头 信息 中 包括 IP 源 地 址 、IP 目标 
地 址 ,传输 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 目标 端口 .ICMP 消息 类 型 等 。 











应 用 层 应 用 层 应 用 层 
表示 层 表示 层 表示 层 
会 话 层 会 话 层 会 话 层 
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物理 层 物理 层 物理 层 





























图 6.3 第 一 代 静 态 包 过 滤 防 火 墙 工作 层次 结构 


(2) 第 二 代 动 态 包 过 滤 类 型 防火 墙 技术 。 这 类 防火 墙 采用 动态 设置 包 过 滤 规 则 的 方 
法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 技术 后 来 发 展 成 为 包 状态 检测 (Stateful 
Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 
据 需 要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 ( 如 图 6.4 所 示 ) 。 





应 用 层 应 用 层 应 用 层 
表示 层 表示 层 表示 层 
会 话 层 会 话 层 会 话 层 
传输 层 传输 层 传输 层 
网 络 层 网 络 层 网 络 层 


数据 链 路 层 数据 链 路 层 
物理 层 


物理 层 
状态 检测 表 

























































图 6.4 第 二 代 动 态 包 过 滤 防 火 墙 工作 层次 结构 


2. 包 过 滤 的 工作 过 程 

数据 包 过 滤 技 术 可 以 允许 或 不 允许 某 些 数据 包 在 网 络 上 传输 ,主要 依据 信息 包括 数据 
包 的 源 地 址 、 数 据 包 的 目的 地 址 \ 数 据 包 的 协议 类 型 (TCP、UDP 和 ICMP 等 ) TCP 或 UDP 
的 源 端 口 .TCP 或 UDP 的 目的 端口 .ICMP 消息 类 型 。 大 多 数 包 过 滤 系统 在 过 滤 的 时 候 都 
不 关心 包 的 具体 内 容 , 通 常 它 只 能 进行 以 下 类 似 情况 的 操作 。 

(1) 不 让 任何 用 户 从 外 部 网 用 Telnet 登录 。 

(2) 允许 任何 用 户 使 用 SMTP 向 内 部 网 发 送 电子 邮件 。 

(3) 只 人 允许 某 台 计算 机 通过 NNTP 向 内 部 网 发 新 闻 。 

包 过 滤 系 统 不 能 识别 数据 包 中 的 用 户 信息 ,同样 包 过 滤 系 统 也 不 能 识别 数据 包 中 的 文 
件 信息 。 包 过 滤 系 统 的 主要 特点 是 可 在 一 台 计 算 机 上 提供 对 整个 网 络 的 保护 。 

几乎 所 有 的 包 过 滤 操 作 设 备 (过 滤 路 由 器 或 包 过 滤 网 关 ) 都 按照 以 下 方式 工作 。 

(1) 包 过 滤 标 准 必须 由 包 过 滤 设 备 端口 存储 起 来 ,这 些 包 过 滤 标 准 称 为 包 过 滤 规 则 。 
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(2) 当 包 到 达 端 口 时 ,对 包 的 包头 进行 分 析 ,大 部 分 包 过 滤 设 备 只 检查 IP、TCP 或 UDP 
包头 中 的 字段 ,不 检查 数据 的 内 容 。 

(3) 包 过 滤 规 则 以 特殊 的 方式 存储 。 

(4) 如 果 一 条 规则 阻止 了 包 传输 或 接收 , 则 该 数据 包 就 不 允许 通过 。 

(5) 如 果 一 条 规则 允许 包 传输 或 接收 , 则 该 包 可 以 继续 被 处 理 。 

(6) 如 果 一 个 包 不 满足 任何 一 条 规则 , 则 该 包 被 丢弃 。 

过 滤 规 则 如 图 6.4 所 示 。 从 规则 中 可 以 看 到 ,过 滤 规 则 的 排列 顺序 是 非常 重要 的 。 配 
置 过 滤 规 则 时 , 常 犯 的 错误 是 把 规则 顺序 放 错 了 ,如 果 包 过 滤 规 则 以 错误 的 顺序 放置 ,那么 
有 效 的 服务 也 可 能 会 被 拒绝 ,而 该 被 拒绝 的 服务 却 被 允许 了 。 另 外 ,规则 的 排列 顺序 不 恰 
当 , 也 会 影响 数据 包 的 处 理 效率 。 

从 图 6.5 中 可 以 看 到 ,在 为 网 络 安 全 设计 过 滤 规 则 时 ,应 该 遵循 自动 防止 故障 的 原理 : 未 
明确 表示 人 允许 的 便 被 禁止 ,此 原理 是 为 包 过 滤 设 计 的 。 因 此 , 随 着 网 络 应 用 的 深入 ,会 有 新 应 
用 (服务 ) 的 增加 ,这 样 就 需要 为 新 应 用 调整 过 滤 规 则 ,否则 新 的 服务 就 不 能 通过 防火 墙 。 
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图 6.5 包 过 滤 操 作 流 程 


3. 包 过 滤 技 术 的 缺陷 

包 过 滤 方式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工作 在 网 络 层 和 传 
输 层 ,与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 : 过 滤 判 别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 
信息 ,因而 各 种 安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 ， 
且 随 着 规则 数目 的 增加 ,性 能 会 受到 很 大 的 影响 ; 由 于 缺少 上 下 文 关联 信息 ,不 能 有 效 地 过 
滤 如 UDP、RPC( 远 程 过 程 调用 ) 一 类 的 协议 ; 另外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 它 
只 能 依据 包头 信息 ,而 不 能 对 用 户 身份 进行 验证 ,很 容易 受到 "地址 欺骗 型 ?攻击 。 对 安全 管理 
人 员 素质 要 求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深 入 的 
理解 。 因 此 ,过 滤器 通常 是 和 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 。 
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6.3.2 代理 服务 技术 


代理 服务 技术 是 一 种 比较 新 型 的 防火 墙 技术 。 

1. 代理 服务 技术 原理 

代理 (Proxy) 服 务 器 ,是 指 代表 客户 处 理 连 接 请 求 的 程序 。 当 代理 服务 器 得 到 一 个 客 
户 的 连接 意图 时 , 它 将 核实 客户 请 求 , 并 用 特定 的 安全 化 的 代理 应 用 程序 来 处 理 连接 请 求 ， 
将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接收 服务 器 应 答 , 并 做 进一步 处 理 后 ,将 应 答 
交 给 发 出 请 求 的 最 终 客 户 。 代 理 服 务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 
和 隔离 内 外 网 络 的 作用 ,所 以 又 称 为 代理 型 防火 墙 。 

代理 服务 型 防火 墙 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 它 完全 “阻隔 ”了 网 络 通信 流 , 通 
过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 信 流 的 作用 。 其 典型 网 
络 结构 如 图 6.6 所 示 。 
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6.6 代理 服务 型 防火 墙 结构 示意 图 


在 代理 服务 型 防火 墙 技术 的 发 展 过 程 中 , 它 也 经 历 了 两 个 不 同 的 版 本 : 第 一 代 应 用 层 
网 关 代 理 型 防火 墙 和 电路 层 网 关 型 防火 墙 。 

1) 第 一 代 应 用 网 关 (Application Layer Gateway) 型 防火 墙 

这 类 防火 墙 ( 图 6.7) 是 通过 一 种 代理 技术 参与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 
出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 , 从 而 可 以 达到 隐 
藏 内 部 网 结构 的 作用 。 它 的 核心 技术 就 是 代理 服务 器 技术 。 

当 某 用 户 ( 无 论 是 远程 还 是 本 地 的 ) 想 和 一 个 运行 代理 的 网 络 建立 联系 时 ,此 代理 (应 用 
层 网 关 ) 会 阻塞 这 个 连接 ,然后 在 过 滤 的 同时 对 数据 包 进 行 必要 的 分 析 、 登 记 和 统计 ,形成 检 
查 报告 。 如 果 此 连接 请 求 符合 预定 的 安全 策略 或 规则 ,代理 防火 墙 便 会 在 用 户 和 服务 器 之 
间 建 立 一 个 “ 桥 ”, 从 而 保证 其 通信 。 对 不 符合 预定 安全 规则 的 , 则 阻塞 或 抛弃 。 
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图 6.7 第 一 代 应 用 层 网 关 型 防火 墙 工作 层次 结构 


同时 ,应 用 层 网 关 将 内 部 用 户 的 请 求 确认 后 送 到 外 部 服务 器 ,再 将 外 部 服务 器 的 响应 送 
回 给 用 户 。 这 种 技术 对 ISP 很 常见 ,用 于 在 Web 服务 器 上 高 速 缓存 信息 ,并 扮演 Web 客户 
和 Web 服务 器 之 间 的 中 介 角 色 。 它 主要 保存 Internet 上 那些 最 常用 和 最 近 访 问 的 内 容 , 在 
Web 上 ,代理 首先 试图 在 本 地 查找 数据 ,如 果 没 有 ,再 到 远程 服务 器 上 去 查找 。 应 用 层 网 关 
为 用 户 提供 了 更 快 的 访问 速度 ,并且 提 高 了 安全 人 性。 

(1) 优点 。 应 用 网 关 型 防火 墙 最 突出 的 优点 就 是 安全 。 这 种 类 型 的 防火 墙 被 网 络 安全 
专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 经 过 代理 的 介 
入 和 转换 ,通过 专门 为 特定 的 服务 (如 HTTP) 编 写 的 安全 化 的 应 用 程序 进行 处 理 ,然后 由 
防火 墙 本 身 提 交 请 求 和 应 答 ,不 给 内 外 网 络 的 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 和 人 侵 
者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 络 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 
理 后 ,就 好 像 源 于 防火 墙 外 部 的 网 卡 一 样 , 从 而 可 以 达到 隐藏 内 部 网 络 结构 的 作用 。 

应 用 层 网 关 防 火 墙 同时 也 是 内 部 网 和 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 
的 作用 。 它 工作 在 OSI 的 最 高 层 , 掌 握 着 应 用 系统 中 可 用 作 安 全 决策 的 全 部 信息 。 

(2) 缺点 。 代 理 型 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 外 网 络 网 关 的 
吞吐 量 要 求 比较 高 时 (如 要 求 75 一 100Mby/s 时 ), 代 理 防火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶 
颈 。 所 幸 的 是 ,目前 用 户 接 和 人 Internet 的 速度 一 般 都 远 低 于 这 个 数字 。 在 现实 环境 中 ,要 考 
虑 使 用 包 过 滤 型 防火 墙 来 满足 速度 要 求 的 情况 ,大 部 分 都 是 高 速 网 (ATM 或 千 兆 位 
Intranet 等 ) 之 间 的 防火 墙 。 

2) 电路 层 网 关 (Circuit Layer Gateway) 型 防火 墙 

电路 层 网 关 型 防火 墙 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 型 防火 墙 。 这 种 防火 墙 不 建立 
被 保护 的 内 部 网 和 外 部 网 之 间 的 直接 连接 ,而 是 通过 电路 层 网 关中 继 TCP 连接 。 在 电路 层 
网 关中 ,数据 包 被 提交 给 用 户 应 用 层 处 理 。 

电路 层 网 关 是 建立 应 用 层 网 关 的 一 个 更 加 灵活 的 方法 。 它 是 针对 数据 包 过 滤 和 应 用 层 
网 关 技术 存在 的 缺陷 而 引入 的 一 种 防火 墙 技术 ,一 般 采 用 自 适应 代理 技术 ,因此 也 称 为 自 适 
应 代理 防火 墙 。 

它 可 以 结合 代理 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损失 安全 
性 的 基础 上 将 代理 型 防火 墙 的 性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 
个 : 自 适 应 代理 服务 器 (Adaptive Proxy Server) 和 动态 包 过 滤器 (Dynamic Packet Filter) 。 

在 “ 自 适应 代理 服务 器 ”与 “动态 包 过 滤器 "之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配 
置 时 ,用 户 仅 仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 
即 可 。 然 后 , 自 适 应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代理 请 
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求 还 是 从 网 络 层 转发 包 , 如 图 6. 8 所 示 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 
则 ,满足 用 户 对 速度 和 安全 性 的 双重 要 求 。 
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图 6.8 电路 层 网 关 型 防火 墙 工作 层次 结构 


代理 类 型 防火 墙 最 突出 的 优点 就 是 安全 。 由 于 它 工作 于 最 高 层 , 所 以 可 以 对 网 络 中 
的 任何 一 层 数 据 通信 进行 筛选 保护 ,而 不 是 像 包 过 滤 那 样 ,只 是 对 网 络 层 的 数据 进行 

电路 层 网 关 型 防火 墙 的 特点 是 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 成 两 段 。 防 火 墙 内 
外 计算 机 系统 间 应 用 层 的 “链接 ”由 两 个 终止 代理 服务 器 上 的 “链接 ”来 实现 ,外 部 计算 机 的 
网 络 链 路 只 能 到 达 代 理 服 务 器 ,从 而 起 到 了 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 此 外 ,代理 
服务 也 对 过 往 的 数据 包 进行 分 析 、 注 册 登 记 , 形 成 报告 , 当 发 现 被 攻击 迹象 时 ,会 向 网 络 管理 
员 发 出 警报 ,并 保留 攻击 痕迹 。 

2. 代理 服务 技术 的 特点 

代理 型 防火 墙 采取 的 是 一 种 代理 机 制 , 因 其 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代 
理 , 所 以 内 外 部 网 络 之 间 的 通信 不 是 直接 的 ,而 是 需 先 经 过 代理 服务 器 审核 ,通过 后 再 由 代 
理 服务 器 代为 连接 ,根本 没有 给 内 、 外 部 网 络 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 
者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

代理 防火 墙 的 最 大 缺点 是 速度 相对 比较 慢 , 当 用 户 对 内 、 外 部 网 络 网 关 的 吞吐 量 要 求 比 
较 高 时 ,代理 防火 墙 就 会 成 为 内 、 外 部 网 络 之 间 的 瓶颈 。 因 为 防火 墙 需要 为 不 同 的 网 络 服务 
建立 专门 的 代理 服务 ,在 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 , 所 以 给 系统 性 
能 带 来 了 一 些 负面 影响 ,但 通常 不 会 很 明显 。 


6.3.3 状态 检测 技术 


1. 状态 检测 技术 的 工作 原理 

基于 状态 检测 技术 的 防火 墙 是 由 CheckPoint 软件 技术 有 限 公司 率先 提出 的 ,也 称 为 动 
态 包 过 滤 防 火 墙 。 基 于 状态 检测 技术 的 防火 墙 通过 一 个 在 网 关 处 执行 网 络 安全 策略 的 检测 
引擎 而 获得 非常 好 的 安全 特性 。 检 测 引擎 在 不 影响 网 络 正常 运行 的 前 提 下 ,采取 抽取 有 关 
数据 的 方法 对 网 络 通信 的 各 层 实施 检测 。 检 测 引擎 维护 一 个 动态 的 状态 信息 表 , 并 对 后 续 
的 数据 包 进 行 检查 ,一 旦 发 现 某 个 连接 的 参数 有 意外 变化 , 则 立即 将 其 终止 。 

状态 检测 防火 墙 监视 和 跟踪 每 个 有 效 连接 的 状态 ,并 根据 这 些 信息 决定 是 否 允 许 网 络 
数据 包 通 过 防火 墙 。 它 在 协议 栈 底 层 截 取 数 据 包 ,然后 分 析 这 些 数 据 包 的 当前 状态 ,并 将 其 
与 前 一 时 刻 相应 的 状态 信息 进行 对 比 ,从 而 得 到 对 该 数据 包 的 控制 信息 。 
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检测 引擎 支持 多 种 协议 和 应 用 程序 ,并 可 以 方便 地 实现 应 用 和 服务 的 扩充 。 当 用 户 访 
问 请 求 到 达 网 关 操 作 系统 前 .检测 引擎 通过 状态 监视 器 收集 有 关 状 态 信息 ,结合 网 络 配置 和 
安全 规则 做 出 接纳 、 拒 绝 、 身份 认证 和 报警 等 处 理 动作 。 一 旦 有 某 个 访问 违反 了 安全 规则 ， 
该 访问 就 会 被 拒绝 ,记录 并 报告 有 关 状 态 信息 。 

状态 检测 防火 墙 试图 跟踪 通过 防火 墙 的 网 络 连接 和 数据 包 , 这 样 防火 墙 就 可 以 使 用 一 
组 附加 的 标准 ,以 确定 是 否 允 许 和 拒绝 通信 。 

在 包 过 滤 防 火 墙 中 ,所 有 数据 包 都 被 认为 是 孤立 存在 的 ,不 关心 数据 包 的 历史 和 未 来 ， 
数据 包 的 允许 和 拒绝 的 决定 完全 取决 于 包 自身 所 包含 的 信息 ,如 源 地 址 .目的 地 址 和 端口 号 
等 。 状 态 检 测 防火 墙 跟踪 的 则 不 仅仅 是 数据 包 所 包含 的 信息 ,还 包括 数据 包 的 状态 信息 。 
为 了 跟踪 数据 包 的 状态 ,状态 检测 防火 墙 还 记录 有 用 的 信息 以 帮助 识别 包 , 如 已 有 的 网 络 连 
接 、 数 据 的 传 出 请 求 等 。 

状态 检测 技术 采用 的 是 一 种 基于 连接 的 状态 检测 机 制 ,将 属于 同一 连接 的 所 有 包 作 为 
一 个 整体 的 数据 流 看 待 ,构成 连接 状态 表 , 通 过 规则 表 与 状态 表 的 配合 ,对 表 中 的 各 个 连接 
状态 因素 加 以 识别 。 

2. 状态 检测 技术 跟踪 连接 状态 的 方式 

状态 检测 技术 跟踪 连接 状态 的 方式 取决 于 数据 包 的 协议 类 型 。 

(1) TCP 包 。 当 建立 起 一 个 TCP 连接 时 ,通过 的 第 一 个 包 被 标记 上 包 的 SYN 标志 。 
通常 情况 下 ,防火 墙 丢弃 所 有 外 部 的 连接 企图 ,除非 已 经 建立 起 某 条 特定 规则 来 处 理 它们 。 
对 内 部 主机 试图 连接 到 外 部 主机 的 数据 包 , 防 火 墙 标 记 该 连接 包 , 人 允许 响 应 及 随后 在 两 个 系 
统 之 间 的 数据 包 通 过 ,直到 连接 结束 为 止 。 在 这 种 方式 下 ,传人 的 包 只 有 在 它 是 响应 一 个 已 
经 建立 的 连接 时 , 才 允 许 通 过 。 

(2) UDP 包 。UDP 包 比 TCP 包 简 单 , 因 为 它们 不 包含 任何 连接 或 序列 信息 。 它 们 只 
包含 源 地 址 、 目 的 地 址 、 校 验 和 携带 的 数据 。 这 种 信息 的 缺乏 使 得 防火 墙 确定 包 的 合法 性 很 
困难 ,因为 没有 打开 的 连接 可 以 利用 ,以 测试 传输 的 包 是 否 应 被 允许 通过 。 如 果 防 火 墙 跟踪 
包 的 状态 ,就 可 以 确定 。 对 传人 的 包 , 若 它 所 使 用 的 地 址 和 UDP 包 携带 的 协议 与 传 出 的 连 
接 请 求 匹配 ,该 包 就 被 允许 通过 。 与 TCP 包 一 样 ,没有 传人 的 UDP 包 会 被 允许 通过 ,除非 
它 是 响应 传 出 的 请 求 或 已 经 建立 了 制定 的 规则 来 处 理 它 。 对 其 他 类 型 的 包 , 情 况 与 UDP 
包 类 似 。 防 火 墙 仔 细 地 跟踪 传 出 的 请 求 , 记 录 下 所 使 用 的 地 址 、 协 议和 包 的 类 型 ,然后 对 照 
保存 过 的 信息 核对 传人 的 包 , 以 确保 这 些 包 是 被 请 求 的 。 

3. 状态 检测 技术 的 特点 

状态 检测 防火 墙 结合 了 包 过 滤 防 火 墙 和 代理 防火 墙 的 优点 ,克服 了 两 者 的 不 足 ,能 够 根 
据 协 议 .端口 ,以 及 源 地 址 和 目的 地 址 等 信息 决定 数据 包 是 否 被 允许 通过 。 状 态 检测 防火 墙 
具有 以 下 优点 。 

(1) 高 安全 性 。 状 态 检测 防火 墙 工作 在 数据 链 路 层 和 网 络 层 之 间 ,因为 数据 链 路 层 是 
网 卡 工作 的 真正 位 置 ,网 络 层 是 协议 栈 的 第 一 层 ,这 样 防火 墙 就 能 确保 截取 和 检查 所 有 通过 
网 络 的 所 有 原始 数据 包 。 

(2) 高 效 性 。 状 态 检测 防火 墙 工 作 在 协议 栈 较 低层 .通过 防火 墙 的 数据 包 都 在 低层 处 
理 , 不 需要 协议 栈 上 层 处 理 任 何 数据 包 ,这样 就 减少 了 高 层 协议 的 开销 ,使 执行 效率 提高 了 
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很 多 。 

(3) 可 伸缩 性 和 易 扩 展 性 。 状 态 检 测 防 火 墙 不 像 代 理 防火 墙 那 样 ,每 个 应 用 对 应 一 个 
服务 程序 ,这 样 所 能 提供 的 服务 是 有 限 的 。 状 态 检测 防火 墙 不 区 分 具体 的 应 用 ,只 是 根据 从 
数据 包 中 提取 的 信息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 。 当 有 一 个 新 的 应 用 时 , 它 能 
动态 产生 新 规则 ,而 不 用 另 写 代码 。 

(4) 应 用 范围 广 。 状 态 检测 防火 墙 不 仅 支 持 基 于 TCP 的 应 用 ,还 支持 无 连接 的 应 用 ， 
如 RPC 和 UDP 的 应 用 。 对 无 连接 协议 , 包 过 滤 防 火 墙 和 应 用 代理 防火 墙 要 么 不 支持 ,要 么 
开放 一 个 大 范围 的 UDP 端口 ,这 样 就 会 暴露 内 部 网 ,降低 安全 性 。 

在 带 来 高 安全 性 的 同时 ,状态 检测 技术 也 存在 着 不 足 ,主要 体现 在 对 大 量 状态 信息 的 处 
理 过 程 可 能 会 造成 网 络 连接 的 某 种 迟滞 ,特别 是 在 同时 有 许多 连接 激活 时 ,或 者 有 大 量 的 过 
滤 网 络 通信 规则 存在 时 。 不 过 随 着 硬件 处 理 能 力 的 不 断 提 高 ,这 个 问题 会 变 得 越 来 越 不 


6.3.4 NAT 技 术 


1. NAT 技术 的 工作 原理 

网 络 地 址 转换 (Network Address Translation，NAT) 是 一 个 Internet 工程 任务 组 
(Internet Engineering Task Force, IETF) 的 标准 中 的 一 项 技术 ,允许 一 个 整体 机 构 以 一 个 
公用 IP 地 址 出 现在 因特网 上 。 顾 名 思 义 , 它 是 一 种 把 内 部 私有 IP 地 址 翻译 成 合法 网 络 IP 
地 址 的 技术 。 

简单 地 说 ,NAT 就 是 在 局 域 网 内 部 网 络 中 使 用 内 部 地 址 ,而 当 内 部 节点 要 与 外 部 网 络 
进行 通信 时 ,就 在 网 关 处 将 内 部 地 址 蔡 换 成 公用 地 址 ,从 而 保证 内 部 计算 机 在 外 部 公 网 上 可 
以 正常 使 用 。NAT 可 以 使 多 台 计 算 机 共享 因特网 的 连接 ,这 一 功能 很 好 地 解决 了 公共 IP 
地 址 紧缺 的 问题 。 通 过 这 种 方法 ,可 以 只 申请 一 个 合法 IP 地 址 ,就 把 整个 局 域 网 中 的 计算 
机 接 入 因特网 。 这 时 ,NAT 屏蔽 了 内 部 网 络 , 所 有 内 部 网 络 计算 机 对 于 公共 网 络 来 说 是 不 
可 见 的 ,而 内 部 网 络 计算 机 用 户 通常 不 会 意识 到 NAT 的 存在 。 

NAT 功能 通常 被 集成 到 路 由 器 .防火墙 .ISDN 路 由 器 或 者 单独 的 NAT 设备 中 。 例 
如 ,Cisco 路 由 器 中 已 经 加 入 了 这 一 功能 ,网 络 管理 员 只 需 在 路 由 器 的 IOS 中 设置 NAT 功 
能 ,就 可 以 实现 对 内 部 网 络 的 屏蔽 。 又 如 ,防火 墙 将 Web Server 的 内 部 地 址 192. 168. 1. 1 
映射 为 外 部 地 址 202. 96. 23. 11, 外 部 访问 202. 96. 23. 11 地 址 实际 上 就 是 访问 内 部 地 址 
192. 168. 1.1。 

2. NAT 技术 的 类 型 

NAT 有 3 种 类 型 : 静态 NAT(Static NAT) 动态 NAT(Pooled NAT) 和 网 络 地 址 端 
口 转换 NAPT(Port-Level NAT) 。 

静态 NAT 是 设置 起 来 最 简单 和 最 容易 实现 的 一 种 ,内 部 网 络 中 的 每 个 主机 都 被 永久 
地 映射 成 外 部 网 络 中 的 某 个 合法 地 址 。 而 动态 NAT 则 是 在 外 部 网 络 中 定义 了 一 系列 的 合 
法 地 址 ,采用 动态 分 配 的 方法 映射 到 内 部 网 络 。NAPT 则 是 把 内 部 地 址 映射 到 外 部 网 络 的 
一 个 IP 地 址 的 不 同 端 口上 。 根 据 不 同 需 要 .3 种 NAT 方案 各 有 利弊 。 

动态 NAT 只 是 转换 IP 地 址 , 它 为 每 个 内 部 的 IP 地 址 分 配 一 个 临时 的 外 部 IP 地 址 , 主 
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要 用 于 拨号 ,对 于 频繁 的 远程 连接 ,也 可 以 采用 动态 NAT。 当 远程 用 户 连接 上 之 后 ,动态 
NAT 就 会 分 配给 它 一 个 IP 地 址 , 当 用 户 断 开 网 络 连接 时 ,这 个 IP 地 址 就 会 被 释放 而 留待 
以 后 使 用 。 

网 络 地 址 端口 转换 NAPT 是 人 们 比较 熟悉 的 一 种 转换 方式 。NAPT 普遍 应 用 于 接 入 
设备 中 , 它 可 以 将 中 小 型 的 网 络 隐 藏 在 一 个 合法 的 IP 地 址 后 面 。NAPT 与 动态 NAT 不 
同 , 它 将 内 部 连接 映射 到 外 部 网 络 中 的 一 个 单独 的 IP 地 址 上 ,同时 在 该 地 址 上 加 上 一 个 由 
NAT 设备 选 定 的 TCP 端口 号 。 

在 互联 网 中 使 用 NAPT 时 ,所 有 不 同 的 信息 流 看 起 来 好 像 来 源 于 同一 个 IP 地 址 。 这 
个 优点 在 小 型 办 公 室内 非常 实用 ,通过 从 ISP 处 申请 的 一 个 IP 地 址 ,将 多 个 连接 通过 
NAPT 接 入 互联 网 。 

3. NAT 技术 的 特点 
(1) NAT 技术 的 优点 。 所 有 内 部 IP 地 址 对 外 面 的 人 来 说 都 是 隐藏 的 。 因 此 ,网 络 之 
外 不 可 能 通过 指定 IP 地 址 的 方式 直接 对 网 络 内 部 的 任何 一 台 特 定 计算 机 发 起 攻击 。 

如 果 因 为 某 种 原因 使 公共 IP 地 址 资源 比较 短缺 ,NAT 技术 可 以 使 整个 内 部 网 络 共享 
一 个 IP 地 址 。 

可 以 启用 基本 的 包 过 滤 防 火 墙 安全 机 制 ,因为 所 有 传人 的 数据 包 如 果 没 有 专门 指定 配 
置 到 NAT, 那 么 就 会 被 丢弃 。 内 部 网 络 的 计算 机 就 不 可 能 直接 访问 外 部 网 络 。 

(2) NAT 技术 的 缺点 。NAT 技术 的 缺点 和 包 过 滤 防 火 墙 的 缺点 类 似 ,虽然 可 以 保障 
内 部 网 络 的 安全 ,但 也 存在 一 些 类 似 的 局 限 。 

a 不 能 处 理 嵌 入 式 IP 地 址 或 端口 。NAT 设备 不 能 翻译 那些 嵌入 到 应 用 数据 部 分 的 
IP 地 址 或 端口 信息 ,而 只 能 翻译 那 种 正常 位 于 IP 首部 中 的 地 址 信息 和 位 于 TCP/UDP 首 
部 中 的 端口 信息 。 由 于 对 方 会 使 用 接收 到 的 数据 包 中 嵌入 的 地 址 和 端口 进行 通信 ,这 样 就 
可 能 产生 连接 故障 ,如 果 通 信 双 方 使 用 的 都 是 公 网 IP, 则 不 会 造成 什么 问题 ,但 如 果 那 个 组 
入 式 地 址 和 端口 是 内 网 的 ,显然 连接 就 不 可 能 成 功 。 

@ 不 能 从 公 网 访问 内 部 网 络 服务 。 由 于 内 网 是 私有 IP, 因 此 不 能 直接 从 公 网 访问 内 部 
网 络 服务 ,如 Web 服务 。 

@ 地 址 转换 将 增加 交换 延迟 。 所 有 进出 网 络 的 数据 包 都 要 经 过 NAT 地 址 转换 以 后 才 
能 进行 收发 ,从 而 不 可 避免 地 会 导致 数据 交换 的 瓶颈 。 

@ 会 导致 某 些 应 用 程序 无 法 正常 运行 。 有 些 应 用 程序 虽然 是 用 A 端口 发 送 数据 的 ,但 
要 用 B 端口 进行 接收 。 不 过 ,NAT 设备 在 翻译 时 却 不 知道 这 一 点 , 它 仍然 会 建立 一 条 针对 
A 端口 的 映射 ,但 当 对 方 响应 的 数据 要 传 给 B 端口 时 ,NAT 设备 却 找 不 到 相关 映射 条 目 而 
会 丢弃 数据 包 。 另 外 ,一 些 P2P 应 用 在 NAT 环境 中 无 法 建立 连接 。 对 于 那些 没有 中 间 服 
务 器 的 纯 P2P 应 用 (如 电视 会 议 、 娱 乐 等 ) ,如 果 大 家 都 位 于 NAT 设备 之 后 ,双方 是 无 法 建 
立 连 接 的 。 因 为 没有 中 间 服 务 器 的 中 转 , NAT 设备 后 的 P2P 程序 在 NAT 设备 上 是 不 会 有 
映射 条 目的 ,也 就 是 说 对 方 是 不 能 向 你 发 起 一 个 连接 的 。 现 在 已 经 有 一 种 称 为 P2P NAT 
穿越 的 技术 可 以 解决 这 个 问题 。 

此 外 ,内 部 网 络 利 用 现在 流传 比较 广泛 的 木马 程序 可 以 通过 NAT 进行 外 部 连接 ,就 像 
它 可 以 穿 过 包 过 滤 防 火 墙 一 样 容易 。 
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6.4 防火 墙 的 体系 结构 


防火 墙 的 体系 结构 大 致 可 以 分 为 4 种 类 型 : 堡垒 主机 体系 结构 、 双 宿主 主机 体系 结构 、 
屏蔽 主机 体系 结构 和 屏蔽 子 网 体系 结构 。 目 前 ,有 关 防 火 墙 体系 结构 的 名 称 还 没有 统一 ,但 
含义 基本 相同 。 


6.4.1 堡垒 主机 体系 结构 


如 图 6. 9 所 示 ,堡垒 主机 体系 结构 在 某 些 地 方 也 称 为 筛选 路 由 器 体系 结构 。 堡 又 主机 
是 内 部 网 在 Internet 上 的 代表 。 堡 又 主机 是 任何 外 来 访问 者 都 可 以 连接 ,访问 的 。 通 过 该 
堡垒 主机 ,防火 墙 内 的 系统 可 以 对 外 操作 ,外 部 网 用 户 也 可 以 获取 防火 墙 内 的 服务 。 








外 部 网 堡 鱼 主机 内 部 网 
图 6.9 堡垒 主机 体系 结构 


堡垒 主机 是 一 种 被 强化 的 可 以 防御 攻击 的 计算 机 ,被 暴露 于 因特网 之 上 ,作为 进入 内 部 
网 络 的 一 个 检查 点 (checkpoint) ,以 达到 把 整个 网 络 的 安全 问题 集中 在 某 个 主机 上 解决 。 
正 是 由 于 这 个 原因 ,防火 墙 的 建造 者 和 防火 墙 的 管理 者 应 尽力 给 予 其 保护 ,特别 是 在 防火 墙 
的 安装 和 初始 化 的 过 程 中 应 予以 仔细 保护 。 

设计 和 建立 堡垒 主机 的 基本 原则 有 两 条 : 最 简化 原则 和 预防 原则 。 

(1) 最 简化 原则 。 堡 公主 机 越 简单 ,对 它 进 行 保护 就 越 方便 。 堡 公主 机 提供 的 任何 网 
络 服务 都 有 可 能 因为 软件 存在 缺陷 或 在 配置 上 的 错误 ,导致 堡垒 主机 的 安全 保障 出 问题 。 
在 构建 煲 垒 主机 时 ,应 该 提供 尽 可 能 少 的 网 络 服务 。 因 此 在 满足 基本 需求 的 条 件 下 ,在 堡 公 
主机 上 配置 的 服务 必须 最 少 ,同时 对 必须 设置 的 服务 给 予 尽 可 能 低 的 权限 。 

(2) 预防 原则 。 尽 管 已 对 堡垒 主机 严 加 保护 ,但 还 有 可 能 被 入侵 者 破坏 。 只 有 对 最 坏 
的 情况 加 以 准备 ,并 设计 好 对 策 , 才 可 有 备 无 患 。 对 网 络 的 其 他 部 分 施加 保护 时 ,也 应 考虑 
到 “堡垒 主 机 被 攻破 怎么 办 ”。 强 调 这 一 点 的 原因 非常 简单 ,就 是 因为 堡垒 主机 是 外 部 网 最 
直接 访问 的 机 器 。 由 于 外 部 网 与 内 部 网 无 直接 连接 ,因此 堡垒 主机 是 试图 破坏 内 部 系统 的 
入 侵 者 首先 攻击 到 的 机 器 。 要 尽量 保障 堡垒 主机 不 被 破坏 ,但 同时 又 得 时 刻 提 防 “ 它 一 旦 被 
攻破 怎么 办 ”。 

一 旦 堡垒 主机 被 破坏 ,还 得 尽力 让 内 部 网 仍 处 于 安全 保障 之 中 。 要 做 到 这 一 点 ,必须 让 
内 部 网 只 有 在 堡 合 主 机 正常 工作 时 才 信 任 它 。 日 常 要 仔细 观察 堡 牺 主机 提供 给 内 部 网 的 服 
务 , 并 依据 这 些 服务 的 内 容 确 定 这 些 服务 的 可 信和 度 及 拥有 的 权限 。 

另外 ,还 有 很 多 方法 可 用 来 加 强 内 部 网 的 安全 性 。 例 如 ,可 以 在 内 部 网 主机 上 操作 控制 
机 制 (设置 口令 ,鉴别 设备 等 ) 或 者 在 内 部 网 与 堡垒 主机 间 设 置 包 过 滤 。 
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6.4.2 双 宿 主 主机 体系 结构 


双 宿 主 主机 的 防火 墙 系统 由 一 台 装 有 两 个 网 卡 的 堡垒 主机 构成 。 两 个 网 卡 分 别 与 外 部 
网 及 内 部 网 相连 。 堡 又 主机 上 和 运行 防火 墙 软件 ,可 以 转发 数据 提供 服务 等 。 堡 又 主机 将 防 
止 在 外 部 网 络 和 内 部 系统 之 间 建 立 任何 直接 的 连接 ,可 以 确保 数据 包 不 能 直接 从 外 部 网 络 
到 达 内 部 网 络 。 双 宿主 主机 防火 墙 的 体系 结构 如 图 6. 10 所 示 。 





图 6.10 双 宿主 主机 体系 结构 示意 图 


双 宿 主 主机 有 两 个 接口 ,具有 以 下 特点 。 

(1) 两 个 端口 之 间 不 能 进行 直接 的 IP 数据 包 的 转发 。 

(2) 防火 墙 内 部 的 系统 可 以 与 双 宿主 主机 进行 通信 ,同时 防火 墙 外 部 的 系统 也 可 以 与 
双 宿 主 主 机 进行 通信 ,但 二 者 之 间 不 能 直接 进行 通信 。 

这 种 体系 结构 的 优点 是 结构 非常 简单 ,易于 实现 ,并 且 具 有 高 度 的 安全 性 ,可 以 完全 阻 
止 内 部 网 络 与 外 部 网 络 通信 。 

这 种 主机 还 可 以 充当 与 这 台 相 连 的 若干 网 络 之 间 的 路 由 器 。 它 能 将 一 个 网 络 的 IP 数 
据 包 在 无 安全 控制 下 传递 给 另外 一 个 网 络 。 但 是 在 将 一 台 双 宿主 主机 安装 到 防火 墙 结构 中 
时 ,首先 要 使 双 宿主 主机 的 这 种 路 由 功能 失效 。 从 一 个 外 部 网 络 ( 如 Internet) 来 的 数据 包 不 能 
无 条 件 地 传递 给 另外 一 个 网 络 ( 如 内 部 网 络 ) 。 双 宿主 主机 的 内 外 网 络 均 可 与 双 宿 主 主 机 实施 
通信 ,但 内 外 网 络 之 间 不 可 直接 通信 ,内 外 部 网 络 之 间 的 全 数据 流 被 双 宿 主 主 机 完全 切断 。 

双 宿 主 主 机 可 以 提供 很 高 的 网 络 控制 机 制 。 如 果 安 全 规则 不 允许 数据 包 在 内 外 部 网 之 
间 直 传 ,而 又 发 现 内 部 网 有 一 个 对 应 的 外 部 数据 源 , 这 就 说 明 系 统 的 安全 机 制 有 问题 了 。 在 
有 些 情 况 下 ,如 果 一 个 申请 者 的 数据 类 型 与 外 部 网 提供 的 某 种 服务 不 相符 合 时 , 双 宿 主 主机 
可 以 否决 申请 者 要 求 的 与 外 部 网 络 的 连接 。 同 样 情况 下 ,用 包 过 滤 系统 要 做 到 这 种 控制 是 
非常 困难 的 。 

双 宿 主 主 机 的 实现 方案 有 以 下 两 种 。 

(1) 应 用 层 数据 共享 。 用 户 直接 登录 到 双 宿 主 主机 ,如 图 6. 11 所 示 。 

(2) 应 用 层 代理 服务 。 在 双 宿 主 主机 上 和 运行 代理 服务 器 ,如 图 6. 12 所 示 。 

双 宿 主 主机 只 有 用 代理 服务 的 方式 ,或 者 让 用 户 直接 注册 到 双 宿 主 主机 上 才能 提供 安 
全 控制 服务 ,但 在 堡垒 主机 上 设置 用 户 账 户 会 产生 很 大 的 安全 问题 。 因 为 用 户 的 行为 是 不 
可 预知 的 ,如 双 宿 主 主机 上 有 很 多 用 户 账户 ,这 会 给 入 侵 检 测 带 来 很 大 的 麻烦 。 另 外 ,这 种 
结构 要 求 用 户 每 次 都 必须 在 双 宿 主 主 机 上 注册 ,这 样 会 使 用 户 感到 使 用 不 方便 。 采 用 代理 
服务 的 方式 安全 性 较 好 ,可 以 将 被 保护 的 网 络 内 部 结构 屏蔽 起 来 ,堡垒 主机 还 能 维护 系统 日 
志 或 远程 日 志 。 但 是 应 用 级 网 关 需 要 针对 每 一 个 特定 的 Internet 服务 安装 相应 的 代理 服务 
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网 络 接口 网 络 接口 SN) 


外 部 网 内 部 网 
图 6.11 双 宿 主 主机 体系 结构 (应 用 层 数 据 共 享 ) 





图 6.12 双 宿 主 主机 体系 结构 (应 用 层 代 理 服务 ) 


软件 ,用 户 不 能 使 用 未 被 服务 器 支持 的 服务 ,以 免 导致 某 些 网 络 服务 无 法 找到 代理 ,或 不 能 
完全 按照 要 求 提供 全 部 安全 服务 。 同 时 堡垒 主机 是 入 侵 者 致力 攻击 的 目标 ,一 旦 被 攻破 , 防 
火 墙 就 完全 失效 了 。 
6.4.3 屏蔽 主机 体系 结构 

双 宿 主 主机 体系 结构 是 由 一 台 同 时 连接 在 内 外 部 网 络 之 间 的 双 宿主 主机 提供 安全 保障 
的 ,而 屏蔽 主机 体系 结构 则 不 同 ,在 屏蔽 主机 体系 结构 提供 安全 保护 的 主机 仅仅 与 内 部 网 相 


连 。 另 外 ,主机 过 滤 还 有 一 台 单独 的 过 滤 路 由 器 。 包 过 滤 路 由 器 应 避免 用 户 直接 与 代理 服 
务 器 相连 。 图 6. 13 所 示 为 一 个 屏蔽 主机 体系 结构 的 例子 。 





图 6.13 屏蔽 主机 体系 结构 示意 图 
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这 种 结构 的 堡垒 主机 位 于 内 部 网 络 ,而 过 滤 路 由 器 按 以 下 规则 过 滤 数 据 包 : 任何 外 部 
网 (如 Internet) 的 主机 都 只 能 与 内 部 网 的 堡垒 主机 建立 连接 ,甚至 只 有 提供 某 些 类 型 服务 
的 外 部 网 主机 才 被 允许 与 堡垒 主机 建立 连接 。 任 何 外 部 系统 对 内 部 网 络 的 操作 都 必须 经 过 
堡垒 主机 ,同时 堡垒 主机 本 身 就 要 求 有 较 全 面 的 安全 维护 。 包 过 滤 系统 也 允许 堡垒 主机 与 
外 部 网 进行 一 些 “ 可 以 接受 ( 即 符合 站 点 的 安全 规则 ) ”的 连接 。 屏 项 主机 防火 墙 转发 数据 包 
的 过 程 如 图 6. 14 所 示 。 
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图 6.14 屏蔽 主机 防火 墙 转发 数据 包 的 过 程 


过 滤 路 由 器 可 按 以 下 规则 之 一 进行 配置 。 

(1) 允许 其 他 内 部 主机 ( 非 堡 垒 主机) 为 某 些 类 型 的 服务 请 求 与 外 部 网 建立 直接 连接 。 

(2) 不 允许 所 有 来 自 内 部 主机 的 直接 连接 。 

当然 ,可 以 对 不 同 的 服务 请 求 混合 使 用 这 些 配置 ,有 些 服务 请 求 可 以 被 允许 直接 进行 包 
过 滤 ,而 有 些 则 必须 在 代理 后 才能 进行 包 过 滤 ,这 主要 是 由 所 需要 的 安全 规则 确定 的 。 

例如 ,对 于 入 站 连接 ,根据 安全 策略 ,屏蔽 路 由 器 可 以 允许 某 种 服务 的 数据 包 先 到 达 保 
又 主机 ,然后 与 内 部 主机 连接 ; 也 可 以 直接 禁止 某 种 服务 的 数据 包 入 站 连接 。 对 于 出 站 连 
接 , 根 据 安全 策略 ,对 于 一 些 服 务 ( 如 Telnet) ,可 以 允许 它 直 接 通 过 屏蔽 路 由 器 连接 到 外 部 
网 络 , 而 不 通过 保 百 主机 ,至 于 其 他 服务 (如 WWW 和 SMTP 等 ) ,必须 经 过 堡垒 主机 才能 
连接 到 Internet ,并 在 堡垒 主 机 上 运行 该 服务 的 代理 服务 器 。 

由 于 屏蔽 主机 体系 结构 允许 数据 包 从 外 部 网 络 直接 传 给 内 部 网 ,因此 这 种 结构 的 安全 
性 能 看 起 来 似乎 比 双 宿 主 主机 体系 结构 差 。 而 在 双 宿 主 主机 体系 结构 中 ,外 部 的 数据 包 理 
论 上 不 可 能 直接 抵达 内 部 网 。 但 实际 上 , 双 宿 主 主机 体系 结构 也 会 出 错 , 而 让 外 部 网 的 数据 
包 直 接 抵达 内 部 网 (这 种 错误 的 产生 是 随机 的 , 故 无 法 在 预先 确定 的 安全 规则 中 加 以 防范 ) 。 
另外 ,在 一 台 路 由 器 上 施加 保护 比 在 一 台 主 机 上 施加 保护 容易 得 多 。 一 般 来 讲 , 屏 蔽 主机 体 
系 结构 比 双 宿 主 主 机 体系 结构 能 提供 更 好 的 安全 保护 ,同时 也 更 具 可 操作 人 性。 

当然 , 同 其 他 体系 结构 相 比 ,这 种 体系 结构 的 防火 墙 也 有 一 些 缺 点 。 一 个 主要 的 缺点 是 
只 要 入 侵 者 设法 通过 了 堡垒 主机 ,那么 对 入 侵 者 来 讲 , 整 个 内 部 网 与 堡垒 主机 之 间 就 再 也 没 
有 任何 保护 了 。 路 申 器 的 保护 也 会 有 类 似 的 缺陷 , 即 若 人 侵 者 疤 过 路 由 器 ,那么 整个 内 部 网 
便 会 完全 暴露 在 入 侵 者 面前 , 正 因为 如 此 .屏蔽 子 网 体系 结构 的 防火 墙 更 受到 青睐 。 


6.4.4 屏蔽 子 网 体系 结构 
屏蔽 子 网 体系 结构 也 称 为 屏蔽 子 网 网 关 体 系 结构 ,就 是 在 屏蔽 主机 体系 结构 中 的 内 部 
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网 和 外 部 网 之 间 再 增加 一 个 被 隔离 的 子 网 ,这 个 子 网 由 堡垒 主机 、 应 用 级 网 关 等 公用 服务 器 
组 成 ,习惯 上 将 这 个 子 网 称 为 “ 非 军事 区 ”(DeMilitarised Zone,DMZ) 。 在 屏蔽 主机 体系 结 
构 中 ,堡垒 主机 最 易 受 到 攻击 ,尽管 可 以 对 它 提 供 最 大 限度 的 保护 ,但 因 其 为 入侵 者 首先 能 
攻击 到 的 机 器 ,所 以 它 仍然 是 整个 系统 最 容易 出 问题 的 环节 。 

用 边界 网 络 来 隔离 堡垒 主机 与 内 部 网 ,能 减轻 和 人 侵 者 在 攻破 堡垒 主 机 后 带 给 内 部 网 
的 压力 。 入 侵 者 即使 攻破 堡垒 主机 也 不 可 能 对 内 部 网 进行 任意 操作 ,而 只 可 能 进行 部 分 
操作 。 

在 最 简单 的 屏蔽 子 网 体系 结构 中 ,有 两 台 都 与 边界 网 络 相连 的 过 滤 路 由 器 ,一 台 位 于 边 
界 网 络 与 内 部 网 络 之 间 ,而 另 一 台 位 于 边界 网 络 与 外 部 网 络 之 间 , 如 图 6. 15 所 示 。 在 这 种 
结构 下 ,入 侵 者 要 攻击 到 内 部 网 必须 通过 两 台 路 由 器 的 安全 控制 ,即使 人 侵 者 通过 了 保全 主 
机 , 它 还 必须 通过 内 部 路 由 器 才能 抵达 内 部 网 ,因此 整个 网 络 安全 机 制 就 不 会 因 一 个 站 点 攻 
破 而 全 部 瘫痪 。 





过 滤 路 由 器 
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应 用 级 网 关 ”堡垒 主机 | 
图 6.15 屏蔽 子 网 体系 结构 示意 图 


有 些 站 点 还 可 用 多 层 边 界 网 络 加 以 保护 , 低 可 靠 性 的 保护 由 外 层 边界 网 络 提供 ,高 可 靠 
性 的 保护 由 内 层 边 界 网 络 提供 。 在 这 种 结构 下 ,入侵 者 攻破 了 外 层 边界 网 络 后 ,必须 再 破坏 
更 为 精致 的 内 部 边界 网 络 才 可 到 达 内 部 网 。 下 面 讨论 这 个 结构 中 的 各 个 组 成 部 分 。 

1. 边界 网 络 

边界 网 络 (周边 网 络 ) ,也 称 为 “停火 区 ”或 “ 非 军 事 区 ”, 如 果 入 侵 者 成 功 地 疾 过 外 层 保护 
网 到 达 防 火 墙 ,边界 网 络 就 能 在 入 侵 者 与 内 部 网 之 间 再 提供 一 层 保护 。 

在 许多 诸如 Ethernet. 令 牌 网 .FDDI 等 网 络 结构 中 ,网 络 上 的 任意 一 台 机 器 都 可 以 观 
察 到 其 他 机 器 的 信息 出 入 情况 ,监听 者 仍 能 通过 监听 用 户 使 用 的 Telnet、FTP 等 操作 成 功 
地 窃取 口令 。 即 使 口令 不 被 泄露 ,监听 者 仍 能 得 到 用 户 操作 的 敏感 文件 的 内 容 。 

如 果 入 侵 者 仅仅 侵入 到 边界 网 络 的 堡垒 主 机 ,他 只 能 偷 看 到 这 层 网 络 的 信息 流 , 却 看 不 
到 内 部 网 的 信息 ,而 这 层 网 络 的 信息 流 仅 从 边界 网 络 往来 于 外 部 网 ,或 者 从 边界 网 络 往来 于 
堡 全 主机。 因为 没有 内 部 主机 间 互 传 的 重要 和 敏感 的 信息 在 边界 网 络 中 流动 ,所 以 即使 保 
华 主 机 受到 损害 也 不 会 让 入 侵 者 损害 到 内 部 网 的 信息 流 。 

显而易见 ,往来 于 堡 公主 机 和 外 部 网 的 信息 流 还 是 可 见 的 ,因此 在 设计 防火 墙 时 就 是 要 
确保 上 述 信息 流 的 暴露 不 会 牵连 到 整个 内 部 网 络 的 安全 。 

2. 堡 全 主机 


在 屏蔽 子 网 结构 中 ,将 堡垒 主机 与 边界 网 络 相连 ,而 这 台 主 机 是 外 部 网 服务 于 内 部 网 的 
主要 节点 。 它 为 内 部 网 服务 的 主要 功能 有 以 下 几 方 面 。 
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(1) 接收 外 来 的 电子 邮件 (SMTP) ,再 分 发 给 相应 的 站 点 。 

(2) 接收 外 来 的 FTP, 并 将 它 连 到 内 部 网 络 匿名 FTP 服务 器 。 

(3) 接收 外 来 的 有 关内 部 网 站 点 的 域名 服务 。 

这 台 主 机 向 外 的 服务 功能 可 用 以 下 方法 来 实施 。 

(1) 在 内 、 外 部 路 由 器 上 建立 包 过 滤 , 以 便 内 部 网 的 用 户 可 以 直接 操作 外 部 服务 器 。 

(2) 在 主机 上 建立 代理 服务 ,在 内 部 网 的 用 户 与 外 部 网 的 服务 器 之 间 建 立 间接 的 连接 。 
也 可 以 在 设置 包 过 滤 后 ,允许 内 部 网 的 用 户 与 主机 的 代理 服务 器 进行 交互 ,但 禁止 内 部 网 用 
户 与 外 部 网 直接 通信 。 

堡垒 主机 在 哪 种 类 型 的 服务 请 求 下 , 包 过 滤 才 允许 它 主动 连接 到 外 部 网 或 允许 外 部 网 
申请 连接 到 它 上 面 , 则 完全 由 安全 机 制 确定 。 不 管 它 是 在 为 某 些 协议 (如 FTP 或 HTTP) 
运行 特定 的 代理 服务 软件 ,还 是 为 代理 协议 (如 SMTP) 运 行 标准 服务 软件 ,堡垒 主机 所 做 的 
主要 工作 还 是 为 内 外 部 服务 请 求 进行 代理 。 

3. 内 部 路 由 器 

内 部 路 由 器 的 主要 功能 是 保护 内 部 网 络 免 受 来 自 外 部 网 与 参数 网 络 的 侵扰 。 内 部 路 由 
器 完成 防火 墙 的 大 部 分 包 过 滤 工作 , 它 允 许 某 些 站 点 的 包 过 滤 系统 认为 符合 安全 规则 的 服 
务 在 内 外 部 网 之 间 的 互 传 (各 站 点 对 各 类 服务 的 安全 确认 规则 是 不 同 的 ) 。 根 据 各 站 点 的 需 
要 和 安全 规则 ,可 允许 的 服务 是 以 下 这 些 外 向 服务 中 的 若干 种 ,如 Telnet、FTP、WAIS、 
Gopher 或 其 他 服务 。 

内 部 路 由 器 可 以 这 样 设 定 : 使 边界 网 络 上 的 煲 垒 主机 与 内 部 网 之 间 传 递 的 各 种 服务 和 
内 部 网 与 外 部 网 之 间 传 递 的 各 种 服务 不 完全 相同 。 限 制 一 些 服务 在 内 部 网 与 保 人 又 主机 之 间 
互 传 的 目的 是 减少 在 堡垒 主机 被 侵入 后 而 受到 入 侵 的 内 部 网 主机 的 数目 ,如 SMTP、DNS 
等 。 还 能 对 这 些 服务 作 进一步 的 限定 ,限定 它们 只 能 在 提供 某 些 服务 的 主机 与 内 部 网 的 站 
点 之 间 互 传 。 例 如 ,对 于 SMTP 就 可 以 限定 站 点 只 能 与 堡垒 主机 或 内 部 网 的 邮件 服务 器 通 
信 。 对 其 余 可 以 从 堡垒 主机 上 申请 连接 的 主机 就 更 得 仔细 保护 ,因为 这 些 主 机 将 是 入 侵 者 
撞 开 堡垒 主机 的 保护 后 首先 能 攻击 到 的 机 器 。 

4. 外 部 路 由 器 

理论 上 ,外 部 路 由 器 既 保 护 边 界 网 络 又 保护 内 部 网 络 。 实 际 上 ,在 外 部 路 由 器 上 仅 做 一 
小 部 分 包 过 滤 , 它 几乎 让 所 有 边界 网 络 的 外 向 请 求 通过 。 而 外 部 路 由 器 与 内 部 路 由 器 的 包 
过 滤 规则 基本 上 是 相同 的 。 也 就 是 说 ,如 果 安 全 规则 上 存在 问题 ,那些 入 侵 者 可 用 同样 的 方 
法 通过 内 、 外 部 路 由 器 。 

由 于 外 部 路 由 器 一 般 是 由 外 界 ( 如 ISP) 提 供 , 因 此 对 外 部 路 由 器 可 做 的 操作 是 受 限制 
的 。ISP 一 般 仅 会 在 该 路 由 器 上 设置 一 些 普通 的 包 过 滤 ,而 不 会 专门 设置 特别 的 包 过 滤 ,或 
者 更 换 包 过 滤 系 统 , 因 此 ,对 于 安全 保障 而 言 , 不 能 像 依 赖 于 内 部 路 由 器 一 样 依赖 外 部 路 由 
器 ,有 时 ISP 甚至 会 因 更 换 外 部 路 由 器 而 忘记 再 设置 包 过 滤 。 

外 部 路 由 器 的 包 过 滤 主 要 是 对 边界 网 络 上 的 主机 提供 保护 。 然 而 ,一 般 情 况 下 ,因为 边 
界 网 络 上 主机 的 安全 主要 通过 主机 安全 机 制 加 以 保障 ,所 以 由 外 部 路 由 器 提供 的 很 多 保护 
并 非 必要 。 另 外 ,还 能 将 内 部 路 由 器 的 安全 准则 加 到 外 部 路 由 器 的 安全 规则 中 ,这 些 规 则 可 
以 防止 不 安全 的 信息 流 在 内 部 网 的 主机 与 外 部 网 之 间 互 传 。 为 了 支持 代理 服务 ,只 要 是 内 
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部 站 点 与 堡垒 主机 间 的 交互 协议 ,内 部 路 由 器 就 准许 通过 。 同 样 ,只 要 协议 来 自 堡垒 主机 ， 
外 部 路 由 器 就 准许 它 通过 并 抵达 外 部 网 。 虽 然 外 部 路 由 器 的 这 些 规则 相当 于 另 加 了 一 层 安 
全 机 制 , 但 这 一 层 安 全 机 制 能 阻 断 的 数据 包 在 理论 上 并 不 存在 ,因为 它们 早已 被 内 部 路 由 器 
阻 断 了 。 如 若 存 在 这 样 的 数据 包 , 则 说 明 不 是 内 部 路 由 器 出 了 故障 就 是 已 有 未 知 的 主机 侵 
人 了 边界 网 络 。 因 此 ,外 部 路 由 器 真正 有 效 的 安全 保护 任务 之 一 就 是 阻 断 来 自 外 部 网 络 并 
具有 伪 源 地 址 的 内 向 数据 包 。 为 此 ,数据 包 的 特征 显示 出 它 是 内 部 网 ,而 其 实 它 来 自 外 部 
网 络 。 

虽然 内 部 路 由 器 也 具有 上 述 功 能 ,但 它 不 能 识别 声称 来 自 边界 网 络 的 数据 包 是 否 是 伪 
装 的 数据 包 。 虽 然 边 界 网 络 上 的 数据 不 是 完全 可 靠 的 ,但 它 比 来 自 外 部 网 的 数据 仍 要 可 靠 
得 多 。 将 数据 包 伪装 成 来 自 边 界 网 络 是 入 侵 者 攻击 堡垒 主机 常用 的 伎俩 ,内 部 路 由 器 不 能 
防止 网 络 上 的 系统 免 受 伪 数据 包 的 侵扰 。 


6.4.5 防火 墙 的 结构 组 合 策略 


前 面 讨 论 的 包 过 滤 型 防火 墙 . 屏 项 主机 、 屏 项 子 网 结构 的 防火 墙 都 是 最 基本 的 防火 墙 结 
构 ,防火 墙 结构 中 还 可 以 有 很 多 变化 和 组 合 , 如 使 用 多 堡垒 主机 ,合并 内 、 外 部 路 由 器 ,合并 
堡垒 主机 与 外 部 路 由 器 等 。 

1. 多 堡垒 主机 

虽然 人 们 大 多 讨论 的 是 单 堡垒 主机 结构 ,但 也 可 以 在 防火 墙 结构 中 配置 多 台 保 又 主机 。 
采用 这 种 结构 可 以 提高 系统 效能 ,增加 系统 元 余 , 能 够 分 离 数 据 和 程序 。 

可 以 让 一 台 堡 驹 主机 处 理 一 些 对 于 用 户 比 较 重 要 的 服务 ,如 SMTP、 代 理 服 务 等 ,而 让 
另 一 台 保 又 主机 处 理由 内 部 网 向 外 部 网 提供 的 服务 ,如 匿名 FTP 服务 。 这 样 , 外 部 用 户 对 
内 部 网 的 操作 就 不 会 影响 内 部 网 用 户 的 操作 。 

即使 在 不 为 外 部 网 提供 服务 的 情况 下 ,为 进一步 提高 系统 的 效能 ,也 可 以 使 用 多 台 堡 垒 
主机 。 一 些 类 似 于 USENET 新 闻 组 的 服务 占用 系统 资源 较 多 又 易于 和 别 的 服务 分 离 , 对 
于 这 种 服务 可 以 专门 配置 堡垒 主机 。 更 进一步 ,为 加 快 系统 响应 速度 ,可 以 用 多 台 主 机 提供 
相同 的 服务 ,但 这 样 做 的 难度 在 于 如 何 使 多 台 堡 又 主机 的 运行 保持 平衡 。 大 多 数 服 务 可 配 
置 到 独立 的 服务 器 上 ,所 以 如 果 能 预测 到 每 种 服务 的 工作 量 ,就 可 以 为 某 些 服务 配置 专门 的 
主机 以 提高 系统 的 响应 速度 。 

如 果 防 火 墙 配置 中 有 多 台 主 机 ,也 可 以 用 它们 为 某 个 服务 做 宛 余 结构 。 这 样 ,如 果 提 供 
服务 的 某 个 主体 主机 出 了 故障 , 则 另 一 个 宛 余 主 机 马上 可 以 接替 。 但 只 有 某 些 服务 软件 支 
持 该 方式 ,如 可 以 配置 几 台 主机 作 域 名 服务 器 或 SMTP 服务 器 。 当 其 中 一 台 主 机 故障 或 过 
载 时 ,那么 域名 服务 和 SMTP 服务 将 由 宛 余 的 备份 系统 承担 。 

还 可 以 用 多 台 堡 驮 主机 防止 各 种 服务 软件 与 数据 、 数 据 与 数据 之 间 的 相互 干扰 。 这 样 
做 除了 可 提高 系统 的 效能 外 ,还 有 助 于 提高 系统 的 安全 性 。 例 如 ,可 以 用 一 台 主机 为 客户 提 
供 对 外 部 网 络 的 HTTP 服务 ,而 用 另 一 台 主机 提供 普通 的 公共 服务 。 用 这 两 台 服 务 器 提供 
不 同 的 数据 给 用 户 , 以 此 提高 系统 的 效能 。 当 然 ,还 可 以 让 HTTP 服务 与 FTP 服务 处 在 分 
离 的 两 台 服务 器 上 以 避免 它们 之 间 的 相互 干扰 。 

2. 合并 内 、 外 部 路 由 器 

如 果 路 由 器 具有 足够 的 处 理 能 力 , 可 将 内 、 外 部 路 由 器 合并 到 一 台 路 由 器 上 ,这 样 做 一 
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般 需要 一 台 每 一 端口 可 以 分 别 设置 输入 输出 的 路 由 器 。 如 果 使 用 图 6. 16 所 示 的 内 、 外 部 路 
由 器 合 一 的 路 由 器 , 仍 需 要 边界 网 络 与 路 由 器 的 一 个 端口 相连 。 该 路 由 器 的 另 一 个 端口 与 
内 部 网 相连 。 凡 符合 路 由 器 安全 规则 的 数据 包 可 在 内 、 外 部 网 之 间 互 传 。 











信息 服务 器 “公共 信息 服务 器 
图 6.16 合并 内 、 外 部 路 由 器 结构 示意 图 


像 屏蔽 主机 体系 结构 一 样 , 这 种 结构 因 只 有 一 台 路 由 器 , 故 安全 机 制 比较 脆弱 。 在 一 般 
情况 下 ,路 由 器 比 主机 更 容易 加 以 保护 ,但 路 由 器 也 并 非 坚 不 可 破 。 

3. 合并 堡垒 主机 与 外 部 路 由 器 

在 防火 墙 结构 中 也 可 以 采取 让 双 宿 主 主机 同时 充当 堡 侄 主机 和 外 部 路 由 器 的 结构 ,如 
图 6.17 所 示 。 例 如 ,假定 只 有 一 个 拨号 方式 的 SLIP 或 PPP 与 Internet 相连 , 则 可 在 堡 全 
主机 上 运行 某 种 软件 ,使 得 该 主机 同时 充当 堡垒 主机 与 外 部 路 由 器 的 角色 。 这 样 做 在 功能 
上 与 前 面 讨论 的 内 部 路 由 器 .堡垒 主 机 、 外 部 路 由 器 的 结构 完全 一 样 。 


eh 


图 6.17 合并 堡垒 主机 与 外 部 路 由 器 结构 示意 图 


使 用 双 宿 主 主机 来 路 由 信息 流 可 能 使 系统 效能 变 差 , 同 时 它 也 不 像 真 正 的 路 由 器 那样 
有 具有 和 柔性。 但 是 ,如 果 系 统 与 外 部 网 之 间 只 有 一 个 窄带 连接 的 条 件 下 ,上 述 缺陷 并 不 明显 。 
可 依据 双 宿主 主机 上 使 用 的 操作 系统 和 应 用 软件 状况 决定 是 否 在 主机 上 要 进行 包 过 滤 操 
作 。 有 许多 接口 软件 具有 很 强 的 包 过 滤 能 力 , 然 而 由 于 外 部 路 由 器 的 包 过 滤 工 作 并 不 多 , 因 
此 即使 使 用 一 个 包 过 滤 功 能 不 太 强 的 软件 .问题 也 不 大 。 

与 内 外 部 路 由 器 的 合并 相同 ,将 外 部 路 由 器 与 堡 从 主机 合并 并 不 会 使 网 络 变 得 脆弱 ,但 
这 种 结构 将 使 堡垒 主机 对 外 网 的 暴露 增多 , 且 主 机 只 能 由 它 上 面 的 包 过 滤 加 以 保护 , 故 要 说 
慎 地 设置 这 层 保护 。 

4. 合并 堡垒 主机 与 内 部 路 由 器 

前 面 讨论 了 将 堡垒 主机 与 外 部 路 由 器 合并 的 结构 ,而 将 堡 特 主机 与 内 部 路 由 器 合并 就 
将 损害 网 络 的 安全 性 。 堡 又 主机 与 外 部 路 由 器 执行 不 同 的 保护 任务 ,它们 相互 补充 ,但 并 不 
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相互 依赖 ,而 内 部 路 由 器 则 在 某 种 程度 上 是 上 述 二 者 的 补充 。 

如 果 将 堡垒 主机 与 内 部 路 由 器 合并 ,其 结构 如 图 6. 18 所 示 ,其实 已 从 根本 上 改变 了 防 
火 墙 的 结构 。 在 使 用 一 台 内 部 路 由 器 和 堡垒 主机 体系 结构 中 ,会 拥有 一 个 子 网 过 滤 ,边界 网 
络 上 不 传输 任何 内 部 信息 流 , 即 使 人 侵 者 成 功 地 穿 过 堡垒 主机 ,他 还 必须 穿 过 内 部 路 由 器 才 
可 抵达 内 部 网 。 在 堡 侄 主机 与 内 部 路 由 器 合并 的 情况 下 ,只 有 一 个 屏蔽 主机 。 如 果 堡 垒 主 
机 被 攻破 ,那么 在 内 部 网 与 堡垒 主机 之 间 就 再 也 没有 对 内 部 网 的 保护 机 制 了 。 


堡 双 主机 





内 部 网 
图 6.18 合并 堡垒 主机 与 内 部 路 由 器 防火 墙 结构 示意 图 


边界 网 络 的 一 个 主要 功能 是 防止 从 堡垒 主机 上 监听 内 部 信息 流 , 而 将 堡垒 主 机 与 内 部 
路 由 器 合 二 为 一 会 使 所 有 的 内 部 信息 流 对 堡垒 主机 公开 。 

除 此 之 外 ,还 可 以 使 用 多 内 部 路 由 器 .多 边界 网 络 、 多 堡垒 主 机 和 多 边界 网 络 组 合 等 方 
式 。 在 混合 配置 防火 墙 时 存在 着 很 大 的 灵活 性 ,可 以 使 它 最 大 限度 地 适应 用 户 的 硬件 系统 ， 
符合 资金 要 求 和 安全 规则 。 


6.5 ”防火墙 的 部 署 


6.5.1 防火 墙 的 设计 原则 


当 搭 建 防火 墙 设备 时 ,经 常 要 遵循 下 面 两 个 主要 的 概念 。 首 先 要 保持 设计 的 简单 性 ; 
其 次 要 计划 好 一 旦 防火 墙 被 渗透 应 该 采取 的 对 策 与 措施 。 

1. 保持 设计 的 简单 性 

一 个 黑客 渗透 系统 最 常用 的 方法 就 是 利用 安装 在 堡 公主 机 上 不 被 注意 的 组 件 。 因 此 ， 
建立 堡垒 主 机 时 要 尽 可 能 使 用 较 小 的 组 件 ,无 论 是 硬件 还 是 软件 。 堡 公主 机 的 建立 只 需 提 
供 防火 墙 功能 。 在 防火 墙 主机 上 不 要 安装 像 Web 服务 那样 的 应 用 程序 服务 。 要 删除 堡垒 
主机 上 所 有 不 必需 的 服务 或 守护 进程 。 在 堡垒 主机 上 运行 尽量 少 的 服务 ,以 避免 给 潜在 的 
黑客 穿 过 防火 墙 提 供 机 会 。 

2. 安排 事故 计划 

如 果 已 设计 好 防火 墙 性 能 ,只 有 通过 防火 墙 才能 允许 访问 公共 网 络 。 当 设计 防火 墙 时 ， 
安全 管理 员 要 对 防火 墙 主机 骨 溃 或 危机 的 情况 作出 计划 。 如 果 仅仅 是 用 一 个 防火 墙 设备 把 
内 部 网 络 和 因特网 隔离 开 , 那 么 黑客 渗透 防火 墙 后 就 会 对 内 部 的 网 络 有 完全 的 访问 权限 。 
为 了 防止 这 种 渗透 ,要 设计 几 种 不 同 级 别 的 防火 墙 设备 。 不 要 依赖 一 个 单独 的 防火 墙 来 保 
护 网 络 安 全 。 为 了 确保 网 络 的 安全 ,无 论 何 时 都 需要 制定 合适 的 安全 策略 ,包括 以 下 几 
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方面 。 
(1) 创建 软件 备份 。 
(2) 配置 同样 的 系统 并 存储 到 安全 的 地 方 。 
(3) 确保 所 有 需要 安装 到 防火 墙 上 的 软件 都 容易 配置 。 


6.5.2 防火 墙 的 选 购 原 则 


在 市 场 上 ,防火墙 的 售 价 极 为 悬殊 ,从 几 万 元 到 数 十 万 元 ,甚至 到 百 万 元 。 因 为 各 企业 
用 户 使 用 的 安全 程度 不 尽 相 同 ,因此 厂商 所 推出 的 产品 也 有 所 区 分 ,甚至 有 些 公司 还 推出 类 
似 模块 化 的 功能 产品 ,以 符合 各 种 不 同 企业 的 安全 需求 。 

当 一 个 企业 或 组 织 决定 采用 防火 墙 来 实施 保卫 自己 内 部 网 络 的 安全 策略 之 后 ,下 一 步 
要 做 的 事情 就 是 选择 一 个 安全 、 经 济 、 合 适 的 防火 墙 。 那 么 , 面 对 种 类 如 此 繁多 的 防火 墙 产 
品 , 用 户 需 要 考虑 的 因素 有 哪些 ,应 该 如 何 进行 取舍 呢 ? 

1. 第 一 要 素 : 防火 墙 的 基本 功能 

防火 墙 系统 可 以 说 是 网 络 的 第 一 道 防线 ,对 计算 机 信息 系统 十 分 重要 ,因此 一 个 企业 在 
决定 使 用 防火 墙 保护 内 部 网 络 的 安全 时 ,首先 需要 了 解 一 个 防火 墙 系统 应 具备 的 基本 功能 。 
一 个 成 功 的 防火 墙 产品 应 该 具有 以 下 基本 功能 。 

防火 墙 的 设计 策略 应 遵循 安全 防范 的 基本 原则 一 一 “除非 明确 允许 ,否则 就 禁止 ”; 防 
火 墙 本 身 支持 安全 策略 ,而 不 是 添加 上 去 的 ; 如 果 组 织 机 构 的 安全 策略 发 生 改 变 ,可 以 加 入 
新 的 服务 ; 有 先进 的 认证 手段 或 有 挂钩 程序 ,可 以 安装 先进 的 认证 方法 ; 如 果 需 要 ,可 以 运 
用 过 滤 技 术 允 许 和 禁止 服务 ; 可 以 使 用 FTP 和 Telnet 等 服务 代理 ,以 便 先进 的 认证 手段 可 
以 被 安装 和 运行 在 防火 墙 上 ; 拥有 界面 友好 、 易 于 编程 的 IP 过 滤 语 言 ,并 可 以 根据 数据 包 
的 性 质 进行 包 过 滤 ,数据 包 的 性 质 有 目标 和 源 IP 地 址 、 协 议 类 型 \ 源 和 目的 TCP/UDP 端 
口 .TCP 包 的 ACK 位 .出 站 和 入 站 网 络 接口 等 。 

如 果 用 户 需要 NNTP( 网 络 消息 传输 协议 )、XWindow、HTTP 和 Gopher 等 服务 ,防火 
墙 应 该 包含 相应 的 代理 服务 程序 。 防 火 墙 也 应 具有 集中 邮件 的 功能 ,以 减少 SMTP 服务 器 
和 外 界 服务 器 的 直接 连接 ,并 可 以 集中 处 理 整 个 站 点 的 电子 邮件 。 防 火 墙 应 允许 公众 对 站 
点 的 访问 ,应 把 信息 服务 器 和 其 他 内 部 服务 器 分 开 。 

防火 墙 应 该 能 够 集中 和 过 滤 氢 入 访问 ,并 可 以 记录 网 络 流量 和 可 疑 的 活动 。 此 外 ,为 了 
使 日 志 具 有 可 读 性 ,防火 墙 应 具有 精简 日 志 的 能 力 。 虽 然 没有 必要 让 防火 墙 的 操作 系统 和 
公司 内 部 使 用 的 操作 系统 一 样 , 但 在 防火 墙 上 运行 一 个 管理 员 熟 悉 的 操作 系统 会 使 管理 变 
得 简单 。 防 火 墙 的 强度 和 正确 性 应 该 可 以 被 验证 ,设计 尽量 简单 ,以 便 管理 员 理 解 和 维护 。 
防火 墙 和 相应 的 操作 系统 应 该 用 补丁 程序 进行 升级 , 且 升 级 必须 定期 进行 。 

正 像 前 面 提 到 的 那样 ,Internet 每 时 每 刻 都 在 发 生 着 变化 ,新 的 易 受 攻击 点 随时 可 能 会 
产生 。 当 新 的 危险 出 现时 ,新 的 服务 和 升级 工作 可 能 会 对 防火 墙 的 安装 产生 潜在 的 阻力 , 因 
此 防火 墙 的 可 适应 性 是 很 重要 的 。 

2. 第 二 要 素 : 企业 的 特殊 要 求 

企业 安全 政策 中 往往 有 些 特殊 需求 ,这 些 需求 不 是 每 一 个 防火 墙 都 会 提供 的 ,这 方面 常 
会 成 为 选择 防火 墙 的 考虑 因素 之 一 。 常 见 的 需求 有 以 下 几 方 面 。 
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(1) 网 络 地 址 转换 功能 (NAT) 。 进 行 地 址 转换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 的 真 
正 IP, 这 可 以 使 黑客 无 法 直接 攻击 内 部 网 络 ; 另 一 个 好 处 是 可 以 让 内 部 使 用 保留 的 卫 , 这 
对 许多 IP 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS。 当 内 部 网 络 使 用 没有 注册 的 IP 地 址 ,或 是 防火 墙 进行 IP 转换 时 ,DNS 
也 必须 经 过 转换 ,因为 同样 的 一 台 主 机 在 内 部 的 IP 与 给 予 外 界 的 IP 将 会 不 同 ,有 的 防火 墙 
会 提供 双重 DNS, 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 (VPN)。VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 客户 机 之 间 对 所 有 
网 络 传输 的 内 容 加 密 ,建立 一 个 虚拟 通道 ,让 两 者 感觉 是 在 同一 个 网 络 上 ,可 以 安全 且 不 受 
拘束 地 互相 存 取 。 

(4) 病毒 扫描 功能 。 大 部 分 防火 墙 都 可 以 与 防 病毒 软件 搭配 实现 扫 毒 功能 ,有 的 防火 
墙 则 可 以 直接 集成 扫 毒 功能 ,差别 只 是 扫 毒 工作 是 由 防火 墙 完成 ,或 者 是 由 另 一 台 专 用 的 计 
算 机 完成 。 

(5) 特殊 控制 需求 。 有 时 候 企业 会 有 特别 的 控制 需求 ,如 限制 特定 使 用 者 才能 发 送 
E-mail,FTP 只 能 下 载 文件 而 不 能 上 传 文件 ,限制 同时 上 网 人 数 ,限制 使 用 时 间或 阻塞 
Java、ActiveX 控件 等 , 依 需求 不 同 而 定 。 

3. 第 三 要 素 : 与 用 户 网 络 结合 

(1) 管理 的 难 易 度 。 防 火 墙 管理 的 难 易 度 是 防火 墙 能 否 达到 目的 的 主要 考虑 因素 之 
一 。 一 般 企 业 之 所 以 很 少 以 已 有 的 网 络 设备 直接 当 作 防 火 墙 的 原因 ,除了 先前 提 到 的 包 过 
滤 并 不 能 达到 完全 的 控制 之 外 , 设 定 工作 困难 、 需 具备 完整 的 知识 及 不 易 排 错 等 管理 问题 也 
是 一 般 企业 不 愿意 使 用 的 主要 原因 。 

(2) 自身 的 安全 性 。 大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 及 
防火 墙 支持 多 少 种 服务 上 ,往往 忽略 了 一 点 一 一 防火 墙 也 是 网 络 上 的 主机 之 一 ,也 可 能 存在 
安全 问题 。 防 火 墙 如 果 不 能 确保 自身 安全 , 则 防火 墙 的 控制 功能 再 强 , 也 终究 不 能 完全 保护 
内 部 网 络 。 

大 部 分 防火 墙 都 安装 在 一 般 的 操作 系统 上 ,如 UNIX、Windows NT 系统 等 。 在 防火 墙 
主机 上 执行 的 除了 防火 墙 软件 外 ,所 有 的 程序 、 系 统 核 心 也 大 多 来 自 于 操作 系统 本 身 的 原 有 
程序 。 当 防火 墙 主机 上 所 执行 的 软件 出 现 安全 漏洞 时 ,防火 墙 本 身 也 将 受到 威胁 。 此 时 , 任 
何 的 防火 墙 控制 机 制 都 可 能 失效 ,因为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ,黑客 几乎 
可 以 为 所 和 欲 为 地 修改 防火 墙 上 的 访问 规则 ,进而 侵入 更 多 的 系统 。 因 此 ,防火 墙 自身 应 有 相 
当 高 的 安全 保护 。 

(3) 完善 的 售后 服务 。 用 户 在 选 购 防 火 墙 产品 时 ,除了 从 以 上 的 功能 特点 考虑 之 外 ,还 
应 该 注意 好 的 防火 墙 应 该 是 企业 整体 网 络 的 保护 者 ,并 能 弥补 其 他 操作 系统 的 不 足 ,使 操作 
系统 的 安全 性 不 会 对 企业 网 络 的 整体 安全 造成 影响 。 防 火 墙 应 该 能 够 支持 多 种 平台 ,因为 
使 用 者 才 是 完全 的 控制 者 ,而 使 用 者 的 平台 往往 是 多 种 多 样 的 ,它们 应 选择 一 套 符 合 现 有 环 
境 需 求 的 防火 墙 产 品 。 由 于 新 产品 的 出 现 , 就 会 有 人 研究 新 的 破解 方法 ,因此 好 的 防火 墙 产 
癌 应 拥有 完善 .及 时 的 售后 服务 体系 。 

(4) 完整 的 安全 检查 。 好 的 防火 墙 还 应 该 向 使 用 者 提供 完整 的 安全 检查 功能 ,但 是 一 
个 安全 的 网 络 仍 必须 依靠 使 用 者 的 观察 及 改进 ,因为 防火 墙 并 不 能 有 效 地 杜绝 所 有 的 恶意 
封包 ,企业 想 要 达到 真正 的 安全 ,仍然 需要 内 部 人 员 不 断 记 录 改进 .追踪 。 防 火 墙 可 以 限制 
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唯 有 合法 的 使 用 者 才能 进行 连接 ,但 是 否 存在 利用 合法 掩护 非法 的 情形 仍 需 依靠 管理 者 来 
发 现 。 

(5) 结合 用 户 情 况 。 在 选 购 一 个 防火 墙 时 ,用 户 应 该 从 自身 考虑 下 面 的 因素 。 

网 络 受 威胁 的 程度 。 

@ 兰 人 侵 者 奖 入 网 络 , 将 要 受到 的 潜在 损失 。 

@ 其 他 已 经 用 来 保护 网 络 及 其 资源 的 安全 措施 。 

@ 由 于 硬件 或 软件 失效 ,或 者 防火 墙 遭 到 “拒绝 服务 攻击 ”而 导致 用 户 不 能 访问 
Internet, 造 成 整个 机 构 的 损失 。 

@ 机 构 所 和 希望 提供 给 Internet 的 服务 ,希望 能 从 Internet 得 到 的 服务 ,以 及 可 以 同时 
通过 防火 墙 的 用 户 数 目 。 

@ 网 络 是 否 有 经 验 丰 富 的 管理 员 。 

@ 今后 可 能 的 要 求 ,如 要 求 增加 通过 防火 墙 的 网 络 活动 或 要 求 新 的 Internet 服务 。 


6.5.3 常见 防火 墙 产品 


防火 墙 产品 的 用 户主 要 分 为 个 人 用 户 .企业 用 户 和 政府 部 门 用 户 。 个 人 用 户 的 安全 需 
求 基本 局 限于 防止 网 络 病 毒 和 “邮件 炸弹 ”, 一 般 的 单机 防火 墙 软件 就 能 满足 需求 。 而 企业 
用 户 和 政府 部 门 用 户 是 安全 产品 最 重要 的 应 用 对 象 。 因 此 这 里 主要 介绍 针对 后 两 类 用 户 的 
防火 墙 产 品 。 

1. Checkpoint Firewall-1 

Checkpoint 公司 是 一 家 专门 从 事 网 络 安 全 产品 开发 的 公司 ,是 软件 防火 墙 领 域 中 的 佼 
佼 者 ,其 旗舰 产品 Checkpoint Firewall-1( 简 称 CP Firewall-1) 在 全 球 软件 防火 墙 产品 中 位 
居 第 一 。 

CP Firewall-1 是 一 个 综合 的 .模块 化 的 安全 套件 。 它 是 一 个 基于 策略 的 解决 方案 , 提 
供 集中 管理 ,访问 控制 ,授权 、 加 密 、 网 络 地 址 传输 、 内 容 显 示 服 务 和 服务 器 负载 平衡 等 功能 。 
主要 用 在 保护 内 部 网 络 资源 ,保护 内 部 进程 资源 和 内 部 网 络 访问 者 验证 等 领域 。CP 
Firewall-1 套件 提供 单一 的 、 集 中 的 分 布 式 安全 策略 ,跨越 UNIX、Windows NT、 路 由 器 、 交 
换 机 和 其 他 外 围 设备 ,提供 大 量 的 API, 有 100 多 个 解决 方案 和 OEM 厂商 的 支持 。 

CP Firewall-l 由 3 个 交互 操作 的 组 件 构成 : 控制 组 件 、 加 强 组 件 和 可 选 组 件 。 这 些 组 
件 既 可 以 运行 在 单机 上 ,也 可 以 部 署 在 跨 平 台 系统 上 。 其 中 ,控制 组 件 包括 Firewall-1 管理 
服务 器 和 图 形 化 的 客户 机 ; 加 强 组 件 包含 Firewall-1 检测 模块 和 Firewall-1 防火 墙 模 块 ; 
可 选 组 件 包括 Firewall-1 Encryption Module (主要 用 于 保护 VPN)、 Firewall-l Connect 
Control Module( 执 行 服务 器 负载 平衡 ) 和 Router Security Module( 管 理 路 由 器 访问 控制 
列表 ) 。 

CP Firewall-l 防火 墙 的 操作 是 在 操作 系统 的 核心 层 进行 ,而 不 是 在 应 用 程序 层 ,这 样 
可 以 使 系统 达到 最 高 性 能 的 扩展 和 升级 。 此 外 .CP Firewall-1 支持 基于 Web 的 多 媒体 和 
基于 UDP 的 应 用 程序 ,并 采用 多 重 验 证 模板 和 方法 ,使 网 络 管理 员 容易 验证 客户 机 会话 
和 用 户 对 网 络 的 访问 。 目 前 该 产品 支持 的 平台 有 Windows NT、Windows 2000、Sun OS、 
Sun Solaris IJBM AIX、HP-UX 及 Bay Networks Router 等 。CP Firewall-1 的 不 足 是 价格 
偏 高 。 
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2. Sonicwall 系列 防火 墙 

Sonicwall 系列 防火 墙 是 Sonic System 公司 针对 中 小 企业 需求 开发 的 产品 ,并 以 其 高 性 
能 和 极 具 竞争 力 的 价格 受到 中 小 企业 和 ISP 公司 的 青睐 。Sonicwall 系列 防火 墙 包括 
Sonicwall/10、Sonicwall/50 Sonicwall/Plus、 Sonicwall/Bandit 和 Sonicwall/DMZ Plus 等 。 
这 些 产品 除了 具有 普通 防火 墙 的 功能 外 ,还 可 管理 和 控制 访问 Internet 的 流量 。 其 可 视 化 
的 Web Browser 设置 更 使 得 非 专业 人 员 可 以 方便 地 进行 配置 和 管理 。Sonicwall 系列 防火 
墙 具 有 以 下 主要 功能 。 

(1) 阻止 未 授权 用 户 访问 防火 墙 内 网 络 。 

(2) 阻止 拒绝 服务 攻击 ,并 可 完成 Internet 内 容 过 滤 。 

(3) IP 地 址 管理 ,网 络 地 址 转换 (NAT) ,也 可 作为 Proxy。 

(4) 制定 网 络 访问 规则 ,规定 对 某 些 网 站 访问 的 限制 ,如 Internet Chat。 

(5) 自动 通知 升级 软件 。 

(6) Sonicwall/DMZ Plus 提供 VPN 功能 。 

Sonicwall 系列 防火 墙 的 市 场 定位 是 中 小 型 企业 ,价格 不 算 太 高 ,功能 也 较 齐全 ,不 失 为 
一 款 质 优 价 廉 的 产品 。 

3. NetScreen Firewall 

NetScreen 科技 公司 推出 的 NetScreen 防火 墙 产 品 是 一 种 新 型 的 网 络 安全 硬件 产品 , 具 
有 Trusted( 可 信 端 口 )\Untrusted( 非 信任 端口 ) 和 Optional( 可 选 端口 )3 个 本 45 网 络 接口 ， 
配 有 PCMCIA 插 槽 ,支持 10MB、20MB、40MB 和 150MB 快 闪存 储 器 。 防 火 墙 的 配置 可 在 
网 络 上 任何 一 台 带 有 浏览 器 的 机 器 上 完成 , 它 把 多 种 功能 诸如 流量 控制 .负载 均衡 、VPN 等 
集成 到 一 起 。NetScreen 防火 墙 的 优势 之 一 是 采用 了 新 的 体系 结构 ,可 以 有 效 地 消除 传统 
防火 墙 实 现 数据 加 盟 时 的 性 能 瓶颈 ,能 实现 最 高 级 别 的 IP 安全 保护 。NetScreen 防火 墙 支 
持 的 标准 包括 ARP、TCP/IP、UDP、ICMP、DHCP、HTTP、RADIUS. IPSEC、MD5、DSS、 
SHA-1、DES-MAC、DES/TripleDES、ISAKMP 和 X. 509 v3 等 。 与 CP Firewall-1 相 比 ， 
NetScreen Firewall 在 执行 效率 和 带宽 处 理 上 似乎 更 胜 一 筹 。 

NetScreen 防火 墙 产品 可 以 真正 实现 线 速 传 输 , 可 同时 支持 最 大 62 094 个 并 行 FTP 连 
接 。NetScreen 防火 墙 系列 产品 中 的 NetScreen-10 和 NetScreen-100 已 分 别 通过 了 ICSA 
(国际 计算 机 安全 协会 ) 的 防火 墙 认 证 和 中 华人 民 共 和 国 公安 部 计算 机 网 络 安全 产品 检测 中 
心 的 检测 ,并 获得 了 在 中 国 的 销售 许可 证 。 

4. Alkatel Internet Devices 系列 防火 墙 

1999 年 6 月 ,阿尔 卡特 公司 与 Internet Devices 公司 经 过 谈判 达成 协议 ,以 1. 8 亿美 元 
巨 资 收购 Internet Devices 公司 一 一 一 个 在 业界 具有 重要 地 位 的 防火 墙 和 VPN 解决 方案 供 
应 商 。 

Internet Devices 公司 专门 从 事 高 性 能 计算 机 网 络 安全 系统 的 设计 、 开 发 .销售 和 服务 ， 
其 产品 系列 Internet Devices 1000/3000/5000 和 Internet Devices 10K 分 别 适 用 于 小 型 .中 
型 大 型 网 络 环境 。 其 中 Internet Devices 3000 Internet Devices 5000 及 Internet Devices 
10K 带 有 VPN 功能 ,支持 VPN 移动 用 户 。 

Internet Devices 硬件 防火 墙 采 用 独 有 的 ASIC 设计 和 基于 Intel 的 FreeBSD UNIX 平 
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台 ,使 用 简单 易 行 ,用 户 只 需要 插入 装置 ,开通 Web 浏览 器 与 内 部 网 络 接口 的 连接 并 进行 简 
单 的 设置 ,就 可 以 完成 防火 墙 的 配置 。Internet Devices 系列 产品 率先 提供 了 100MB 的 吞 
吐 能 力 和 无 用 户 数 限制 ,支持 64 000 个 并 发 会 话 , 有 效 地 消除 了 软件 防火 墙 的 性 能 瓶颈 , 达 
到 了 安全 和 性 能 的 完美 统一 。 

Internet Devices 系列 产品 都 支持 自 定 义 插件 组 合 , 所 有 产品 都 具备 以 下 特性 : 企业 级 
防火 墙 安全 性 、 集 中 策略 管理 .网 络 地 址 转换 (NAT) 完整 的 LDAP 数据 库 .SPAM E-mail 
过 滤器 .Web 高 速 缓存 全面 的 报告 及 广泛 的 诊断 。 

5. 北京 天 融 信 公司 网 络 卫 士 防火 墙 

北京 天 融 信 公司 的 网 络 卫士 是 我 国 第 一 套 自 主 版 权 的 防火 墙 系统 ,目前 在 我 国电 信 、 电 
子 教育 .科研 等 单位 广泛 使 用 , 它 由 防火 墙 和 管理 器 组 成 。 其 中 ,防火 墙 由 多 个 模块 组 成 ， 
包括 包 过 滤 、 应 用 代理 .NAT、VPN 、 防 攻击 等 功能 模块 ,各 模块 可 分 离 .裁剪 和 升级 ,以 满足 
不 同 用 户 的 需求 。 管 理 器 的 硬件 平台 为 能 运行 Netscape 4. 0 浏览 器 的 Intel 兼容 微机 , 软 
件 平台 采用 Windows 9x 操作 系统 。 

网 络 卫士 防火 墙 系统 集中 了 包 过 滤 型 防火 墙 , 应 用 代理 、 网 络 地 址 转换 .用 户 身份 认证 、 
虚拟 专用 网 .Web 页 面 保护 .用户 权限 控制 .安全 审计 、 攻 击 检 测 流量 控制 与 计 费 等 功能 ， 
可 以 为 不 同类 型 的 Internet 接 入 网 络 提供 全 方位 的 网 络 安全 服务 。 它 目前 有 FW-2000 和 
NG FW-3000 两 种 产品 。 该 系统 在 增强 传统 防火 墙 安全 性 的 同时 ,还 通过 VPN 架构 ,为 企 
业 网 提供 一 整套 从 网 络 层 到 应 用 层 的 安全 解决 方案 ,包括 访问 控制 .身份 验证 .授权 控制 、 数 
据 加 密 数据 完整 性 等 安全 服务 。 

在 体系 结构 上 ,网 络 卫士 采用 了 集中 控制 下 的 分 布 式 客户 机 /服务 器 结构 ,性 能 好 配置 
灵活 。 公 司 内 部 网 络 可 以 设置 多 个 防火 墙 ,并 由 一 个 管理 器 负责 监控 。 对 于 受 安全 保护 的 
信息 ,客户 只 有 在 获得 授权 后 才能 访问 它 。 此 外 ,网 络 卫士 还 支持 多 种 应 用 程序 .服务 和 协 
议 ,包括 Web、E-mail、.FTP、TELNET 和 基于 TCP 的 应 用 程序 等 。 

网 络 卫 士 防 火 墙 采 用 了 领先 一 步 的 SSN( 安 全 服务 器 网 络 ) 技 术 ,安全 性 高 于 其 他 防火 
墙 普遍 采用 的 DMZ( 隔 离 区 ) 技 术 。SSN 与 外 部 网 之 间 有 防火 墙 保护 ,与 内 部 网 之 间 也 有 
防火 墙 保护 ,一 旦 SSN 受到 破坏 ,内 部 网 络 仍 会 处 于 防火 墙 的 保护 之 下 。 值 得 一 提 的 是 ,网 
络 卫 士 防火 墙 系统 是 中 国人 自己 设计 的 ,因此 管理 界面 完全 是 中 文化 的 ,使 管理 工作 更 加 方 
便 。 目 前 ,网 络 卫士 防火 墙 已 经 获得 公安 部 颁发 的 (计算 机 信息 系统 安全 专用 产品 销售 许可 
证 》, 并 在 许多 单位 获得 了 广泛 的 应 用 。 

6. NAI Gauntlet 防火 墙 


NAI 公司 是 全 球 著名 的 网 络 安全 产品 提供 商 ,其 产品 包括 网 络 监 测 、 防 火 墙 及 防 病毒 
产品 等 。NAI 的 Gauntlet 防火 墙 使 用 完全 的 代理 服务 方式 提供 广泛 的 协议 支持 及 高 速 的 
吞吐 能 力 ,很 好 地 解决 了 安全 ,性 能 及 灵活 性 之 间 的 协调 问题 。 由 于 完全 使 用 应 用 层 代 理 服 
务 ,Gauntlet 提供 了 一 套 安全 性 较 高 的 解决 方案 ,从 而 对 访问 的 控制 更 加 细致 。 

虽然 应 用 代理 型 防火 墙 具 有 很 好 的 安全 性 ,但 速度 不 尽 如 人 意 。 因 此 ,NAI 公司 随后 
又 推出 了 具有 “ 自 适应 代理 ”特性 的 防火 墙 ,这 种 防火 墙 不 仅 能 维护 系统 安全 ,还 能 够 动态 
“适应 ”传送 中 的 分 组 流量 。 自 适应 代理 型 防火 墙 允 许 用 户 根据 具体 需求 定义 防火 墙 策略 ， 
而 不 会 牺牲 速度 或 安全 性 。 如 果 对 安全 要 求 较 高 ,那么 最 初 的 安全 检查 仍 在 应 用 层 进 行 , 保 
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证 实现 传统 代理 型 防火 墙 的 最 大 安全 性 。 而 一 旦 代理 明确 了 会 话 的 所 有 细节 ,其 后 的 数据 
包 就 可 以 直接 经 过 速度 更 快 的 网 络 层 。Gauntlet 防火 墙 的 新 型 自 适应 代理 技术 还 允许 单个 
安全 产品 ,如 安全 脆弱 性 扫描 器 ,病毒 安全 扫描 器 和 入 侵 防 护 传感器 之 间 实 现 更 加 灵活 的 集 
成 。 作 为 自 适应 安全 计划 的 一 部 分 ,NAI 将 允许 经 过 正确 验证 的 设备 在 安全 传感器 和 扫描 
仪 发 现 重要 的 网 络 威胁 时 ,根据 防火 墙 管理 员 事先 确定 的 安全 策略 自动 适应 ”防火墙 级 别 。 


6.6 防火 墙 技术 的 发 展 趋势 


随 着 新 的 网 络 攻击 的 出 现 ,防火 墙 技术 也 有 一 些 新 的 发 展 趋势 。 这 主要 可 以 从 包 过 滤 
技术 .防火墙 体系 结构 和 防火 墙 系统 管理 三 方面 来 体现 。 


6.6.1 防火 墙 包 过 滤 技 术 发 展 趋势 


1. 身份 认证 技术 

一 些 防 火 墙 厂商 把 在 AAA 系统 上 运用 的 用 户 认证 及 其 服务 扩展 到 防火 墙 中 ,使 其 拥 
有 可 以 支持 基于 用 户 角色 的 安全 策略 功能 。 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 有 用 户 
身份 验证 的 防火 墙 通常 是 采用 应 用 级 网 关 技术 。 用 户 身份 验证 功能 越 强 , 它 的 安全 级 别 越 
高 ,但 它 给 网 络 通信 带 来 的 负面 影响 也 越 大 ,因为 用 户 身 份 验证 需要 时 间 , 特 别 是 加 密 型 的 
用 户 身份 验证 。 

2. 多 级 过 滤 技 术 

多 级 过 滤 技 术 是 指 防火 墙 采用 多 级 过 滤 措 施 ,并 辅 以 鉴别 手段 。 在 分 组 过 滤 ( 网 络 层 ) 
级 别 , 过 滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 IP 源 地 址 ; 在 传输 层级 别 ,遵循 过 滤 规 则 ,过 滤 掉 
所 有 禁止 出 或 (和 ) 入 的 协议 和 有 害 数据 包 , 如 nuke 包 、 圣 诞 树 包 等 ; 在 应 用 网 关 ( 应 用 层 ) 
级 别 ,能 利用 FTP、SMTP 等 各 种 网 关 控制 和 监测 Internet 提供 的 所 有 通用 服务 。 这 是 针 
对 以 上 各 种 已 有 防火 墙 技 术 的 不 足 而 产生 的 一 种 综合 型 过 滤 技 术 , 它 可 以 弥补 以 上 各 种 单 
独 过 滤 技术 的 不 足 。 

这 种 过 滤 技术 在 分 层 上 非常 清楚 ,每 种 过 滤 技 术 对 应 于 不 同 的 网 络 层 , 从 这 个 概念 出 
发 ,又 有 很 多 内 容 可 以 扩展 ,为 将 来 的 防火 墙 技术 发 展 打下 基础 。 

3. 防 病 毒 技术 

防 病毒 技术 使 防火 墙 具有 病毒 防护 功能 ,目前 主要 还 是 在 个 人 防火 墙 中 体现 ,因为 它 是 
纯 软 件 形式 ,更 容易 实现 。 这 种 防火 墙 技术 可 以 有 效 地 防止 病毒 在 网 络 中 的 传播 , 比 等 待 攻 
击 的 发 生 更 加 积极 。 拥 有 病毒 防护 功能 的 防火 墙 可 以 大 大 减少 公司 的 损失 。 


6.6.2 防火 墙 的 体系 结构 发 展 趋势 


随 着 网 络 应 用 的 增加 ,对 网 络 带宽 提出 了 更 高 的 要 求 。 这 意味 着 防火 墙 要 能 够 以 非常 
高 的 效率 处 理 数据 。 在 以 后 几 年 里 ,多 媒体 应 用 将 会 越 来 越 普 遍 , 它 要 求 数据 穿 过 防火 墙 所 
带 来 的 延迟 要 足够 小 。 为 了 满足 这 种 需要 ,一 些 防火 墙 制造 商 开发 了 基于 ASIC 的 防火 墙 
和 基于 网 络 处 理 器 的 防火 墙 。 从 执行 速度 的 角度 来 看 ,基于 网 络 处 理 器 的 防火 墙 也 是 基于 
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软件 的 解决 方案 , 它 需 要 在 很 大 程度 上 依赖 于 软件 的 性 能 ,但 是 由 于 这 类 防火 墙 中 有 一 些 专 
门 用 于 处 理 数据 层面 任务 的 引擎 ,从 而 减轻 了 CPU 的 负担 ,该 类 防火 墙 的 性 能 要 比 传统 防 
火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 硬 件 防火 墙 相 比 ,基于 网 络 处 理 器 的 防火 墙 具 有 软件 色彩 ,因而 更 加 
具有 灵活 性 。 基 于 ASIC 的 防火 墙 使 用 专门 的 硬件 处 理 网 络 数 据 流 , 比 起 前 两 种 类 型 的 防 
火 墙 具 有 更 好 的 性 能 。 但 是 纯 硬 件 的 ASIC 防火 墙 缺乏 可 编程 性 ,这 就 使 得 它 缺 乏 灵活 性 ， 
从 而 跟 不 上 防火 墙 功能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 芯片 的 可 编程 性 ,使 其 
与 软件 更 好 地 配合 。 这 样 的 防火 墙 就 可 以 同时 满足 来 自 灵活 性 和 运行 性 能 的 要 求 。 

首 信 CF-2000 系列 EP-600 和 CG-600 高 端 千 兆 防 火 墙 即 采用 了 功能 强大 的 可 编程 专 
有 ASIC 芯片 作为 专门 的 安全 引擎 ,很 好 地 兼顾 了 灵活 性 和 性 能 的 需要 。 它 们 可 以 以 线 速 
处 理 网 络 流量 ,而 且 其 性 能 不 受 连 接 数目 . 包 大 小 及 采用 何 种 策略 的 影响 。 该 款 防 火 墙 支持 
QoS, 所 造成 的 延迟 可 以 达到 微 秒 量 级 ,可 以 满足 各 种 交互 式 多 媒体 应 用 的 要 求 。 浙 大 网 新 
也 在 杭州 正式 发 布 三 款 基 于 ASIC 芯片 的 网 新 易 尚 千 兆 系列 网 关 防 火 墙 。 据 称 , 其 ES4000 
防火 墙 速度 达到 4Gb/s,3DES 速度 可 达 600Mb/s。 易 尚 系列 千 兆 防火 墙 还 采用 了 最 新 的 
安全 网 关 概 念 ,集成 了 防火 墙 \VPN、IDS、 防 病毒 .内 容 过 滤 和 流量 控制 等 多 项 功能 。 


6.6.3 防火 墙 的 系统 管理 发 展 趋势 


防火 墙 的 系统 管理 也 有 一 些 发 展 趋势 ,主要 体现 在 以 下 几 个 方面 。 

1. 集中 式 管理 与 分 布 式 和 分 层 的 安全 结构 

集中 式 管理 可 以 降低 管理 成 本 ,并 保证 在 大 型 网 络 中 安全 策略 的 一 致 性 。 快 速 响应 和 
快速 防御 也 要 求 采用 集中 式 管理 系统 。 目 前 这 种 分 布 式 防火 墙 早 已 在 Cisco、3Com 等 大 的 
网 络 设备 开发 商 中 开发 成 功 ,也 就 是 目前 所 称 的 “分 布 式 防火 墙 " 和 “由 入 式 防火 墙 "。 关 于 
这 一 新 技术 将 在 下 一 节 中 详细 介绍 。 

2. 强大 的 审计 功能 和 自动 日 志 分 析 功 能 

强大 的 审计 功能 和 自动 日 志 分 析 功 能 的 应 用 可 以 更 早 地 发 现 潜在 的 威胁 并 预防 攻击 的 
发 生 。 日 志 功 能 还 可 以 使 管理 员 有 效 地 发 现 系统 中 存在 的 安全 漏洞 ,及 时 调整 安全 策略 。 
不 过 ,具有 这 种 功能 的 防火 墙 通常 是 比较 高 级 的 ,早期 的 静态 包 过 滤 型 防火 墙 是 不 具有 的 。 

3. 网 络 安全 产品 的 系统 化 

随 着 网 络 安全 技术 的 发 展 ,现在 有 一 种 提 法 , 称 为 “建立 以 防火 墙 为 核心 的 网 络 安全 体 
系 ”。 因 为 在 现实 中 发 现 , 仅 现 有 的 防火 墙 技 术 难 以 满足 当前 网 络 安 全 需求 。 通 过 建立 一 个 
以 防火 墙 为 核心 的 安全 体系 ,就 可 以 为 内 部 网 络 系统 部 署 多 道 安全 防线 ,各 种 安全 技术 各 司 
其 职 , 从 各 方面 防御 外 来 入侵 。 

如 现在 的 IDS 设备 就 能 很 好 地 与 防火 墙 一 起 联合 。 一 般 情况 下 ,为 了 确保 系统 的 通信 
性 能 不 受 安全 设备 的 影响 太 大 ,IDS 设备 不 能 像 防火 墙 一 样 置 于 网 络 入 口 处 ,只 能 置 于 旁 路 
位 置 。 而 在 实际 使 用 中 ,IDS 的 任务 往往 不 仅 在 于 检测 ,很 多 时 候 在 IDS 发 现 人 侵 行 为 以 
后 ,也 需要 IDS 本 身 对 入 侵 及 时 遏止 。 显 然 ,要 让 处 于 旁 路 侦 听 的 IDS 完成 这 个 任务 太 难 ， 
同时 主 链 路 又 不 能 串 接 太 多 类 似 设备 。 在 这 种 情况 下 ,如 果 防 火 墙 能 和 IDS、 病 毒 检测 等 相 
关 安 全 产品 联合 起 来 ,充分 发 挥 各 自 的 长 处 ,协同 配合 ,共同 建立 一 个 有 效 的 安全 防范 体系 ， 
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那么 系统 网 络 的 安全 性 就 能 得 以 明显 提升 。 

目前 主要 有 两 种 解决 办 法 : 一 种 是 直接 把 IDS、 病 毒 检测 部 分 “做 ”到 防火 墙 中 ,使 防火 
墙 具 有 IDS 和 病毒 检测 设备 的 功能 ; 另 一 种 是 各 个 产品 分 立 ,通过 某 种 通信 方式 形成 一 个 
整体 ,一 旦 发 现 安全 事件 , 则 立即 通知 防火 墙 ,由 防火 墙 完成 过 滤 和 报告 。 目 前 更 看 重 后 一 
种 方案 ,因为 它 实现 方式 较 前 一 种 容易 许多 。 


6.6.4 分 布 式 防火 墙 技术 


在 前 面 已 提 到 一 种 新 的 防火 墙 技术 , 即 分布 式 防火 墙 技术 已 在 逐渐 兴起 ,并 在 国外 一 些 
大 的 网 络 设备 开发 商 中 得 到 实现 。 由 于 其 优越 的 安全 防护 体系 符合 未 来 的 发 展 趋势 ,因此 
这 一 技术 一 出 现 便 得 到 许多 用 户 的 认可 和 接受 。 下 面 介绍 分 布 式 防火 墙 技 术 。 

1. 分 布 式 防火 墙 的 产生 

因为 传统 的 防火 墙 设置 在 网 络 边 界 , 介 于 内 、 外 部 网 络 之 间 , 所 以 称 为 “边界 防火 墙 ” 
(Perimeter Firewall)。 随 着 人 们 对 网 络 安全 防护 要 求 的 提高 ,边界 防火 墙 明显 感觉 到 力 不 
从 心 , 因 为 给 网 络 带 来 安全 威胁 的 不 仅 是 外 部 网 络 , 更 多 的 是 来 自 内 部 网 络 。 但 边界 防火 墙 
无 法 对 内 部 网 络 实现 有 效 的 保护 ,除非 对 每 一 台 主 机 都 安装 防火 墙 ,这 是 不 可 能 的 。 基 于 
此 ,一 种 新 型 的 防火 墙 技 术 一 一 分 布 式 防火 墙 (Distributed Firewalls) 技 术 产生 了 。 它 可 以 
很 好 地 解决 边界 防火 墙 以 上 的 不 足 ,当然 不 是 为 每 台 主 机 安装 防火 墙 ,而 是 把 防火 墙 的 安全 
防护 系统 延伸 到 网 络 中 的 各 台 主 机 。 一 方面 有 效 地 保证 了 用 户 的 投资 不 会 很 高 , 另 一 方面 
给 网 络 所 带 来 的 安全 防护 是 非常 全 面 的 。 

传统 边界 防火 墙 用 于 限制 被 保护 企业 内 部 网 络 与 外 部 网 络 ( 通 常 是 因特网 ) 之 间 相 互 进 
行 信息 存 取 、 传 递 操作 , 它 所 处 的 位 置 在 内 部 网 络 与 外 部 网 络 之 间 。 实 际 上 ,所 有 以 前 出 现 
的 各 种 不 同类 型 的 防火 墙 ,从 简单 的 包 过 滤 方 式 , 到 应 用 层 代 理 , 以 至 自 适应 代理 ,都 是 基于 
一 个 共同 的 假设 , 那 就 是 防火 墙 把 内 部 网 络 一 端的 用 户 看 成 是 可 信任 的 ,而 外 部 网 络 一 端的 
用 户 则 都 被 视 为 潜在 的 攻击 者 来 对 待 。 而 分 布 式 防 火 墙 是 一 种 主机 驻 留 式 的 安全 系统 , 它 
是 以 主机 为 保护 对 象 ,其 设计 理念 是 主机 以 外 的 任何 用 户 访问 都 是 不 可 信任 的 ,都 需要 进行 
过 滤 。 当 然 ,在 实际 应 用 中 也 不 是 要 求 对 网 络 中 每 台 主 机 都 安装 这 样 的 系统 ,这 样 会 严重 影 
响 网 络 的 通信 性 能 。 它 通常 用 于 保护 企业 网 络 中 的 关键 节点 服务 器 .数据 及 工作 站 免 受 非 
法 入 侵 的 破坏 。 

分 布 式 防火 墙 负责 对 网 络 边 界 ,各 子 网 和 网 络 内 部 各 节点 之 间 的 安全 防护 ,所 以 “分 布 
式 防火 墙 ”是 一 个 完整 的 系统 ,而 不 是 单一 的 产品 。 根 据 其 所 需 完成 的 功能 ,新 的 防火 墙 体 
系 结构 包含 以 下 部 分 。 

(1) 网 络 防 火 墙 (Network Firewall) : 这 一 部 分 有 的 公司 采用 的 是 纯 软 件 方式 ,而 有 的 
可 以 提供 相应 的 硬件 支持 。 它 是 用 于 内 部 网 与 外 部 网 之 间 ,以 及 内 部 网 各 子 网 之 间 的 防护 。 
与 传统 边界 防火 墙 相 比 , 它 多 了 一 种 对 内 部 子 网 之 间 的 安全 防护 层 , 这 样 整个 网 络 的 安全 防 
护 体 系 就 显得 更 加 全 面 ,更 加 可 靠 。 不 过 . 它 在 功能 上 仍 与 传统 的 边界 式 防 火 墙 类 似 。 

(2) 主机 防火 墙 (Host Firewall) : 同样 也 有 纯 软 件 和 硬件 两 种 产品 ,是 用 于 对 网 络 中 
的 服务 器 和 桌面 机 进行 防护 。 这 也 是 传统 边界 式 防火 墙 所 不 具备 的 ,是 对 传统 边界 式 防 火 
墙 在 安全 体系 方面 的 一 个 完善 。 它 是 作用 在 同一 内 部 子 网 之 间 的 工作 站 与 服务 器 之 间 ,以 
确保 内 部 网 络 服务 器 的 安全 。 这 样 .防火墙 的 作用 不 仅 是 用 于 内 部 与 外 部 网 之 间 的 防护 ,还 
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可 应 用 于 内 部 网 各 子 网 之 间 、 同 一 内 部 子 网 工作 站 与 服务 器 之 间 。 可 以 说 达到 了 应 用 层 的 
安全 防护 , 比 起 网 络 层 更 加 彻底 。 

(3) 中 心 管理 (Central Managerment) : 这 是 一 个 防火 墙 服务 器 管理 软件 ,负责 总 体 安 
全 策略 的 策划 管理、 分 发 及 日 志 的 汇总 。 这 是 新 的 防火 墙 的 管理 功能 ,也 是 以 前 传统 边界 
防火 墙 所 不 具有 的 。 这 样 ,防火 墙 就 可 进行 智能 管理 ,提高 了 防火 墙 的 安全 防护 灵活 性 , 具 
备 可 管理 性 。 

2. 分 布 式 防火 墙 的 主要 特点 

综合 起 来 ,这 种 新 的 防火 墙 技 术 具 有 以 下 几 个 主要 特点 。 

(1) 主 机 驻 留 。 这 种 分 布 式 防火 墙 的 最 主要 特点 就 是 采用 主机 驻 留 方式 ,所 以 称 为 “ 主 
机 防火 墙 2( 传 统 边 界 防 火 墙 通常 称 为 “网 络 防火 墙 ?) 。 它 的 重要 特征 是 驻 留 在 被 保护 的 主 
机 上 ,该 主机 以 外 的 网 络 不 管 是 处 在 网 络 内 部 还 是 网 络 外 部 都 被 认为 是 不 可 信任 的 ,因此 可 
以 针对 该 主机 上 运行 的 具体 应 用 和 对 外 提供 的 服务 设 定 针对 性 很 强 的 安全 策略 。 主 机 防火 
墙 对 分 布 式 防火 墙 体系 结构 的 突出 贡献 是 使 安全 策略 不 仅仅 停留 在 网 络 与 网 络 之 间 , 而 是 
把 安全 策略 推广 延伸 到 每 个 网 络 末 端 。 

(2) 嵌入 操作 系统 内 核 。 这 主要 是 针对 目前 的 纯 软 件 式 分 布 式 防 火 墙 来 说 的 。 目 前 ， 
操作 系统 自身 存在 许多 安全 漏洞 是 众所周知 的 ,运行 在 其 上 的 应 用 软件 无 一 不 受到 威胁 。 
分 布 式 主机 防火 墙 也 运行 在 主机 上 ,所 以 其 运行 机 制 是 主机 防火 墙 的 关键 技术 之 一 。 为 自 
身 的 安全 和 彻底 堵 住 操作 系统 的 漏洞 ,主机 防火 墙 的 安全 监测 核心 引擎 要 以 嵌入 操作 系统 
内 核 的 形态 运行 ,直接 接管 网 卡 ,在 把 所 有 数据 包 进 行 检 查 后 再 提交 操作 系统 。 为 实现 这 样 
的 运行 机 制 , 除 防火 墙 厂商 自身 的 开发 技术 外 ,与 操作 系统 厂商 的 技术 合作 也 是 必要 的 条 
件 , 因 为 这 需要 一 些 操作 系统 不 公开 的 内 部 技术 接口 。 

(3) 类 似 于 个 人 防火 墙 。 个 人 防火 墙 是 一 种 软件 防火 墙 产品 , 它 是 用 来 保护 单一 主机 
系统 的 。 分 布 式 防火 墙 与 个 人 防火 墙 有 相似 之 处 ,如 都 是 对 应 个 人 系统 ,但 它们 之 间 又 有 着 
本 质 上 的 差别 。 

首先 ,它们 的 管理 方式 杀 然 不 同 , 个 人 防火 墙 的 安全 策略 由 系统 使 用 者 自己 设置 ,全 面 
功能 和 管理 都 在 本 机 上 实现 . 它 的 目标 是 防止 主机 以 外 的 任何 外 部 用 户 攻击 ; 而 针对 桌面 
应 用 的 主机 防火 墙 的 安全 策略 由 整个 系统 的 管理 员 统一 安排 和 设置 ,除了 对 该 桌面 机 起 到 
保护 作用 外 ,还 可 以 对 该 桌面 机 的 对 外 访问 加 以 控制 ,并且 这 种 安全 机 制 是 桌面 机 的 使 用 者 
不 可 见 和 不 可 改动 的 。 

其 次 ,不同 于 个 人 防火 墙 是 单纯 的 直接 面向 个 人 用 户 , 针 对 桌面 应 用 的 主机 防火 墙 是 面 
向 企业 级 客户 的 , 它 与 分 布 式 防火 墙 其 他 产品 共同 构成 一 个 企业 级 应 用 方案 ,形成 一 个 安全 
策略 中 心 统一 管理 ,所 以 它 在 一 定 程度 上 也 面 对 整 个 网 络 。 它 是 整个 安全 防护 系统 中 不 可 
分 割 的 一 部 分 ,整个 系统 的 安全 检查 机 制 分 散布 置 在 整个 分 布 式 防火 墙 体系 中 。 

(4) 适用 于 服务 器 托管 。 因 特 网 和 电子 商务 的 发 展 促进 了 因特网 数据 中 心 (IDC) 的 迅 
速 崛 起 ,其 主要 业务 之 一 就 是 服务 器 托管 服务 。 对 服务 器 托管 用 户 而 言 ,该 服务 器 逻辑 上 是 
其 企业 网 的 一 部 分 ,只 不 过 物理 上 不 在 企业 内 部 。 对 于 这 种 应 用 ,边界 防火 墙 解决 方案 就 显 
得 比较 牵强 附会 。 对 于 这 类 用 户 ,他们 通常 所 采用 的 防火 墙 方案 是 采用 虚拟 防火 墙 方案 ,但 
这 种 配置 相当 复杂 , 非 一 般 网 管 人 员 能 胜任 。 而 针对 服务 器 的 主机 防火 墙 解决 方案 则 是 其 
中 一 个 典型 应 用 。 对 于 纯 软件 式 的 分 布 式 防火 墙 ,用 户 只 需 在 该 服务 器 上 安装 主机 防火 墙 
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软件 ,并 根据 该 服务 器 的 应 用 设置 安全 策略 即 可 ,利用 中 心 管理 软件 对 该 服务 器 进行 远程 监 
控 , 无 须 额外 租用 新 的 空间 放置 防火 墙 。 对 于 硬件 式 的 分 布 式 防火 墙 , 因 其 通常 采用 PCI 
卡 式 的 ,兼顾 网 卡 作用 ,所 以 可 以 直接 持 在 服务 器 机 箱 里 面 ,无 须 单独 的 空间 托管 费用 ,这 对 
于 企业 来 说 更 加 实惠 。 

3. 分 布 式 防火 墙 的 主要 优势 

在 新 的 安全 体系 结构 下 ,分 布 式 防火 墙 代 表 新 一 代 防 火 墙 技术 的 潮流 , 它 可 以 在 网 络 的 
任何 交界 和 节点 处 设置 屏障 ,从 而 形成 一 个 多 层次 、 多 协议 ,内 外 兼 防 的 全 方位 安全 体系 。 
其 主要 优势 有 以 下 几 方面 。 

(1) 增强 的 系统 安全 性 。 增 加 了 针对 主机 的 入 侵 检 测 和 防护 功能 ,加 强 了 对 来 自 内 部 
攻击 的 防范 ,可 以 实施 全 方位 的 安全 策略 。 

在 传统 边界 式 防火 墙 应 用 中 ,企业 内 部 网 络 非常 容易 受到 有 目的 的 攻击 ,一 旦 侵入 了 企 
业 局 域 网 的 某 台 计算 机 ,并 获得 这 台 计 算 机 的 控制 权 , 他 们 便 可 以 利用 这 台 计 算 机 作为 入侵 
其 他 系统 的 跳板 。 而 最 新 的 分 布 式 防火 墙 将 防火 墙 功能 分 布 到 网 络 的 各 个 子 网 .桌面 系统 、 
笔记 本 式 计算 机 及 服务 器 PC 上 。 分 布 于 整个 公司 内 的 分 布 式 防火 墙 使 用 户 可 以 方便 地 访 
问 信息 ,而 不 会 将 网 络 的 其 他 部 分 暴露 在 潜在 的 非法 入 侵 者 面前 。 和 凭借 这 种 端 到 端的 安全 
性 能 ,用 户 通过 内 部 网 、 外 联网 、 虚 拟 专用 网 及 远程 访问 所 实现 的 与 企业 互联 方法 不 再 有 任 
何 区 别 。 分 布 式 防火 墙 还 可 以 使 企业 避免 发 生 由 于 某 一 台 端 点 系统 的 入 侵 而 导致 向 整个 网 
络 蓝 延 的 情况 发 生 , 同 时 也 使 通过 公共 账号 登录 网 络 的 用 户 无 法 进入 那些 限制 访问 的 计算 
机 系统 。 针 对 边界 式 防 火 墙 对 内 部 网 络 安全 性 防范 的 不 足 问题 ,分 布 式 防火 墙 使 用 了 IP 安 
全 协议 ,能 够 很 好 地 识别 在 各 种 安全 协议 下 的 内 部 主机 之 间 的 端 到 端 网 络 通信 ,使 各 主机 之 
间 的 通信 得 到 了 很 好 的 保护 。 所 以 分 布 式 防火 墙 有 能 力 防 止 各 种 类 型 的 被 动 和 主动 攻击 。 
特别 是 当 使 用 IP 安全 协议 中 的 密码 凭证 来 标志 内 部 主机 时 ,基于 这 些 标志 的 策略 对 主机 来 
说 无 疑 更 具 可 信人 性 。 

(2) 系统 性 能 的 提高 。 消 除了 结构 性 瓶颈 问题 ,提高 了 系统 性 能 。 

传统 防火 墙 由 于 拥有 单一 的 接 和 人 控制 点 ,无 论 是 对 网 络 的 性 能 还 是 对 网 络 的 可 靠 性 都 
有 不 利 的 影响 。 从 网 络 的 性 能 角度 来 说 , 自 适应 防火 墙 是 一 种 在 性 能 和 安全 之 间 寻 求 平衡 
的 方案 ; 从 网 络 的 可 靠 性 角度 来 说 ,采用 多 个 防火 墙 元 余 也 是 一 种 可 行 的 方案 ,但 是 它们 引 
入 了 更 多 的 复杂 性 。 分 布 式 防火 墙 从 根本 上 去 除了 单一 的 接 入 点 ,从 而 使 这 一 问题 迎 刃 而 
解 。 另 一 方面 ,分 布 式 防火 墙 可 以 针对 各 个 服务 器 及 终端 计算 机 的 不 同 需要 ,对 防火 墙 进 行 
最 佳 配置 ,配置 时 能 够 充分 考虑 到 这 些 主 机 上 运行 的 应 用 ,如 此 便 可 在 保障 网 络 安全 的 前 提 
下 大 大 提高 网 络 运转 效率 。 

(3) 系统 的 扩展 性 。 分 布 式 防火 墙 随 系统 扩充 提供 了 安全 防护 无 限 扩充 的 能 力 。 

因为 分 布 式 防火 墙 分 布 在 整个 企业 的 网 络 或 服务 器 中 ,所 以 它 具 有 无 限制 的 扩展 能 力 。 
随 着 网 络 的 增长 ,它们 的 处 理 负荷 也 在 网 络 中 进一步 分 布 ,因此 它们 的 高 性 能 可 以 持续 保 
持 , 而 不 会 像 边 界 式 防火 墙 那样 随 着 网 络 规模 的 增 大 而 不 堪 重 负 。 

(4) 主机 策略 的 方便 性 。 对 网 络 中 的 各 节点 可 以 起 到 更 安全 的 防护 。 

现在 防火 墙 大 多 缺乏 对 主机 意图 的 了 解 ,通常 只 能 根据 数据 包 的 外 在 特性 进行 过 滤 控 
制 。 虽 然 代 理 型 防火 墙 能 够 解决 该 问题 ,但 它 需 要 对 每 一 种 协议 单独 地 编写 代码 ,其 局 限 性 
也 显而易见 。 在 没有 上 下 文 的 情况 下 ,防火 墙 是 很 难 将 攻击 包 从 合法 的 数据 包 中 区 分 出 来 
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的 ,因而 也 就 无 法 实施 过 滤 。 事 实 上 ,攻击 者 很 容易 伪装 成 合法 包 发 动 攻击 ,攻击 包 除 了 内 
容 以 外 的 部 分 可 以 完全 与 合法 包 一 样 。 分 布 式 防火 墙 由 主机 来 实施 策略 控制 ,主机 对 自己 
的 意图 有 足够 的 了 解 , 所 以 分 布 式 防火 墙 依赖 主机 作出 合适 的 决定 就 能 很 自然 地 解决 这 一 
问题 。 

(5) 应 用 更 为 广泛 ,支持 VPN 通信 。 其 实 分 布 式 防火 墙 最 重要 的 优势 在 于 它 能 够 保护 
物理 拓扑 上 不 属于 内 部 网 络 ,但 位 于 逻辑 上 的 “内 部 ”网 络 的 那些 主机 ,这 种 需求 随 着 VPN 
的 发 展 越 来 越 多 。 对 这 个 问题 的 传统 处 理 方法 是 将 远程 “内 部 ?主机 和 外 部 主机 的 通信 依然 
通过 防火 墙 隔离 来 控制 接 入 ,而 远程 “内 部 ”主机 和 防火 墙 之 间 采 用 “隧道 ”技术 保证 安全 性 ， 
这 种 方法 使 原本 可 以 直接 通信 的 双方 必须 绕 经 防火 墙 , 不 仅 效率 低 ,而 且 增加 了 防火 墙 过 滤 
规则 设置 的 难度 。 与 之 相反 ,分 布 式 防火 墙 的 建立 本 身 就 是 基于 逻辑 网 络 的 概念 ,因此 对 它 
而 言 , 远 程 “ 内 部 ?主机 与 物理 上 的 内 部 主机 没有 任何 区 别 , 它 从 根本 上 防止 了 这 种 情况 的 
发 生 。 

4. 分 布 式 防火 墙 的 主要 功能 

上 面 介 绍 了 分 布 式 防 火 墙 的 特点 和 优势 ,那么 到 底 这 种 防火 墙 具 备 哪 些 功能 呢 ? 因为 
采用 了 软件 形式 (有 的 采用 了 软件 十 硬件 形式 ) ,所 以 功能 配置 更 加 灵活 ,具备 充分 的 智能 管 
理 能 力 ,总 的 来 说 可 以 体现 在 以 下 几 个 方面 。 

(1) Internet 访问 控制 。 依 据 工 作 站 名 称 、 设 备 指 纹 等 属性 ,使 用 “Internet 访问 规则 ” 
控制 该 工作 站 或 工作 站 组 在 指定 的 时 间 段 内 是 否 允 许 / 禁 止 访问 模板 或 网 址 列表 中 所 规定 
的 Internet Web 服务 器 , 某 个 用 户 可 否 基于 某 工作 站 访问 WWW 服务 器 ,同时 当 某 个 工作 
站 /用 户 达 到 规定 流量 后 确定 是 否 断 网 。 

(2) 应 用 访问 控制 。 通 过 对 网 络 通信 从 链 路 层 、 网 络 层 、 传 输 层 .应 用 层 基 于 源 地 址 、 目 
标 地 址 .端口 ,协议 的 逐 层 包 过 滤 与 人 侵 监 测 ,控制 来 自 局 域 网 /Internet 的 应 用 服务 请 求 ， 
如 SQL 数据 库 访 问 、IPX 协议 访问 等 。 

(3) 网 络 状 态 监控 。 实 时 动态 报告 当前 网 络 中 所 有 的 用 户 登 录 .Internet 访问 、 内 网 访 
问 、 网 络 人 侵 事件 等 信息 。 

(4) 黑客 攻击 的 防御 。 抵 御 包括 Smurf 拒绝 服务 攻击 .ARP 欺骗 .ping 扫描 、Trojan 木 
马 攻击 等 在 内 的 近 百 种 来 自 网 络 内 部 及 来 自 Internet 的 黑客 攻击 手段 。 

(5) 日 志 管理 。 对 工作 站 协议 规则 日 志 、 用 户 登录 事件 日 志 、 用 户 Internet 访问 日 志 、 
指纹 验证 规则 日 志 、 入 侵 检测 规则 日 志 的 记录 与 查询 分 析 。 

(6) 系统 工具 。 系 统 工具 包括 系统 层 参数 的 设 定 、 规 则 等 配置 信息 的 备份 与 恢复 、 流 量 
统计 模板 设置 工作 站 管理 等 。 


习 题 6 


一 、 选 择 题 
1. 关于 防火 墙 ,以 下 ( ) 说 法 是 错误 的 。 
A. 防火 墙 能 隐藏 内 部 IP 地 址 
B. 防火 墙 能 控制 进出 内 网 的 信息 流向 和 信息 包 
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C. 防火 墙 能 提供 VPN 功能 
D. 防火 墙 能 阻止 来 自 内 部 的 威胁 
2. 防火 墙 是 确保 网 络 安全 的 重要 设备 之 一 ,以 下 各 项 中 可 以 由 防火 墙 解 决 的 一 项 网 络 
安全 问题 是 ( 和 
A. 从 外 部 网 伪装 为 内 部 网 B. 从 内 部 网 络 发 起 的 攻击 
C. 向 内 部 网 用 户 发 送 病毒 携带 文件 D. 内 部 网 上 某 台 计算 机 的 病毒 问题 
3. 包 过 滤 型 防火 墙 工 作 在 OSI 的 ( ) 。 


A. 物理 层 B. 传输 层 C. 网 络 层 和 传输 层 D. 应 用 层 
4. 防火 墙 对 数据 包 进 行 状态 检测 时 ,不 进行 检测 过 滤 的 是 ( Ys 

A. 源 地 址 和 目的 地 址 B. 源 端口 和 目的 端口 

C. IP 协议 号 D. 数据 包 中 的 内 容 
5. 关于 防火 墙 的 描述 中 ,正确 的 是 ( DS 

A. 常用 的 访问 控制 设备 之 一 B. 仅 在 网 络 层 实现 访问 控制 

C. 只 能 通过 硬件 设备 来 实现 D. 通过 加 密 来 实现 访问 控制 
6. 关于 网 络 地 址 转换 的 描述 中 ,错误 的 是 ( Ns 

A. 最 初 用 于 缓解 IP 地 址 短缺 B. 分 为 静态 NAT 和 动态 NAT 

C. 防火 墙 的 最 基本 实现 方式 D. 可 隐藏 内 部 网 络 中 的 主机 
二 、 填空 题 
. 常见 防火 墙 按 采用 的 技术 分 类 主要 有 和 





1 
2 是 防火 墙 体系 的 基本 形态 。 
3. 应 用 层 网 关 型 防火 墙 的 核心 技术 是 ge 
4. 在 NAT 设备 中 ,如 果 IP 分 组 需要 进入 内 部 网 络 ,其 中 的 目的 地 址 将 从 全 局 地 址 转 
换 为 
5. 在 代理 型 防火 墙 技术 的 发 展 过 程 中 ,经 历 了 两 个 不 同 版 本 : 第 一 代 应 用 层 网 关 代 理 
型 防火 墙 和 
三 、 简 答题 
. 什么 是 防火 墙 ? 古代 防火 墙 与 网 络 安全 中 的 防火 墙 有 什么 联系 和 区 别 ? 
. 分 析 防 火 墙 的 局 限 性 。 
. 简 述 包 过 滤 型 防火 墙 的 工作 机 制 和 包 过 滤 类 型 。 
. 试 述 代理 型 防火 墙 的 工作 原理 及 特点 。 
. 常见 的 防火 墙 系统 有 哪 几 种 ? 比较 它们 的 优 缺 点 。 
. 屏蔽 子 网 的 防火 墙 系统 是 如 何 实现 的 ? 
. 双 宿 主 堡垒 主机 与 单 宿 主 堡垒 主机 的 区 别 是 什么 ? 
.状态 检测 防火 墙 的 技术 特点 是 什么 ? 
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大 量 安全 实践 表明 ,保障 网 络 系统 的 安全 ,仅仅 依靠 传统 被 动 的 防护 是 不 够 的 ,而 完整 
的 安全 策略 应 该 包括 实时 的 检测 (Detection) 和 响应 (Response)。 和 人 入侵 检测 作为 一 类 快速 
发 展 的 安全 技术 ,以 其 对 网 络 系统 的 实时 监测 和 快速 响应 的 特性 ,逐渐 发 展 成 为 保障 网 络 系 
统 安全 的 关键 部 件 。 作 为 继 防火 墙 之 后 的 第 二 层 安全 防范 措施 ,入 侵 检测 可 在 不 影响 网 络 
性 能 情况 下 ,对 内 部 攻击 、 外 部 攻击 和 误 操 作 进 行 保护 ,是 构筑 多 层次 网 络 纵深 防御 体系 的 
重要 组 成 部 分 。 此 外 ,为 弥补 防火 墙 和 入 侵 检测 存在 的 不 足 , 人 们 还 积极 探索 具有 主动 安全 
防御 机 制 的 入 侵 防 护 系 统 (Intrusion Prevention System,IPS) ,使 得 在 准确 检测 出 常规 网 络 
流量 中 的 恶意 攻击 和 异常 数据 时 ,并 非 简 单 地 发 出 安全 告警 ,而 是 实时 地 采取 措施 ,阻止 攻 
击 行为 。 


7.1 人 侵 检测 概述 


7.1.1 入 侵 检测 技术 的 发 展 


人 入侵 检测 技术 的 研究 最 早 可 以 追溯 到 1980 年 James P. Anderson 提出 的 一 份 技术 报 
告 。 他 首先 提出 了 入 侵 检 测 的 概念 ,并 将 入 侵 尝 试 (Intrusion Attempt) 或 威胁 (Threat) 定 
义 为 : 潜在 的 有 预谋 的 .未 经 授权 的 访问 信息 和 操作 信息 ,致使 系统 不 可 靠 或 无 法 使 用 的 
企图 。Anderson 在 报告 中 提出 审计 追踪 可 应 用 于 监视 入 侵 威胁 ,但 由 于 当时 已 有 的 系统 
安全 程序 全 都 注重 于 拒绝 未 经 认证 主体 对 重要 数据 的 访问 ,这 一 设想 的 重要 性 并 未 被 
理解 。 

1987 年 Dorothy Denning 提出 了 入 侵 检测 系统 (Intrusion Detection System，IDS) 的 
抽象 模型 ,首次 提出 了 入 侵 检测 可 以 作为 一 种 计算 机 系统 安全 防御 措施 的 概念 ,与 传统 的 信 
息 加 密 和 访问 控制 技术 相 比 ,IDS 是 全 新 的 计算 机 安全 措施 。 在 这 个 模型 中 ,可 以 很 清楚 地 
看 出 Denning 的 二 维 检测 思想 , 即 基于 专家 系统 的 特征 检测 及 基于 统计 异常 模型 的 异常 检 
测 。 这 一 点 也 黄 定 了 入 侵 检测 技术 领域 的 两 大 方向 : 误 用 检测 (Misuse Detection) 和 异常 
检测 (Anomaly Detection ) 。 

1988 年 的 Morris Internet 蠕虫 事件 使 得 Internet 多 日 无 法 正常 使 用 。 该 事件 加 速 了 
人 们 对 安全 的 需求 ,进而 引发 了 自 20 世纪 80 年 代 以 来 对 入 侵 检测 系统 的 开发 研究 热潮 。 
但 早期 的 系统 都 是 基于 主机 的 应 用 , 即 通过 监视 与 分 析 主 机 的 审计 记录 来 检测 人 侵 。 同 年 ， 
Teresa Lunt 等 进一步 改进 了 Denning 提出 的 入 侵 检测 模型 ,创建 了 IDES (Intrusion 
Detection Expert System)。 该 系统 用 于 检测 单一 主机 的 入 侵 尝 试 ,提出 了 与 系统 平台 无 关 
的 实时 检测 思想 , 1995 年 开发 的 NIDES (Next-Generation Intrusion Detection Expert 
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System) 作 为 IDES 完善 后 的 版 本 可 以 检测 出 多 个 主机 上 的 入 侵 , 如 图 7.1 所 示 。 

在 这 个 模型 的 基础 上 ,1990 年 Herberlein 等 开 - 
发 出 了 第 一 个 真正 意义 上 的 人 侵 检测 系统 NSM | La 
(Network Security Monitor) 。 在 这 个 实物 模型 中 ， 
第 一 次 采用 了 网 络 实时 数据 流 而 非 历史 存档 信息 作 
为 检测 数据 的 来 源 。 这 为 和 人 侵 检 测 系 统 的 产品 化 做 
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出 了 巨大 贡献 : 再 也 不 需要 将 各 式 各 样 的 审计 信息 异常 检测 器 
转化 为 统一 格式 后 才能 分 析 了 ,入 侵 检测 开始 逐步 脱 1 
离 * 审 计 ” 的 影子 。 na 敬告 /报告 








1994 年 ,Mark Crosbie 和 Gene Spafford 建议 使 
用 自治 代理 (Autonomous Agents) 以 提高 IDS 的 可 
伸缩 性 、 可 维护 性 、 效 率 和 容错 性 。 该 理念 非常 符合 计算 机 科学 其 他 领域 正在 进行 的 相关 研 
究 。 另 一 个 致力 于 解决 当代 大 多 数 入 侵 检测 系统 伸缩 性 不 足 的 方法 于 1996 年 提出 , 即 
GrIDS(Graph-based Intrusion Detection System) 的 设计 和 实现 。 该 系统 可 以 方便 地 检测 大 
规模 自动 或 协同 方式 的 网 络 攻击 。 

1997 年 ,Cisco 将 网 络 人 侵 检测 集成 到 其 路 由 器 设备 中 。 同 年 ,ISS 推出 Realsecure, 入 
侵 检 测 系 统 正式 进入 主流 网 络 安全 产品 阶段 。 

在 这 个 时 期 ,入 侵 检测 通常 被 视 为 防火 墙 的 有 益 补充 。 这 个 阶段 ,用 户 已 经 能 够 逐渐 认 
识 到 防火 墙 仅 能 对 4 层 以 下 的 攻击 进行 防御 ,而 对 那些 基于 数据 驱动 攻击 或 被 称 为 深层 攻 
击 的 威胁 无 能 为 力 。 

而 后 ,在 2001 一 2003 年 ,蠕虫 病毒 大 肆 泛 滥 , 红 色 代 码 . 尼 姆 达 、 震 荡 波 .冲击 波 此 起 和 披 
伏 。 由 于 这 些 蠕虫 多 是 使 用 正常 端口 ,除非 明确 不 需要 使 用 此 端口 的 服务 ,防火墙 无 法 控制 
和 发 现 蠕虫 传播 ,倒是 入 侵 检 测 产品 可 以 对 这 些 蠕 虫 病毒 所 利用 的 攻击 代码 进行 检测 (就 是 
前 面 提 到 的 误 用 检测 ,将 针对 漏洞 的 攻击 代码 结合 病毒 特征 做 成 事件 特征 , 当 发 现 有 该 类 事 
件 发 生 时 ,就 可 判断 为 出 现 蠕虫 病毒 )。 从 而 造就 了 入 侵 检 测 系统 的 广泛 推广 和 应 用 。 

近年 来 ,入 侵 检测 技术 的 创新 研究 还 有 : 将 免疫 学 原理 运用 于 分 布 式 入 侵 检测 领域 ,将 
信息 检索 技术 引入 到 入 侵 检测 中 ,以 及 采用 状态 转换 分 析 、 数 据 挖掘 、 遗 传 算法 和 神经 网 络 
等 进行 误 用 和 异常 检测 。 


7.1.2 入 侵 检 测 的 定义 


入 侵 检测 (Intrusion Detection,1D) ,是 指 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关 
键 点 进行 信息 收集 并 对 其 进行 分 析 , 如 审计 记录 、 安 全 日 志 、 用 户 行为 与 网 络 数据 包 等 ,以 便 
发 现 计算 机 或 网 络 系统 中 是 否 存在 违反 安全 策略 的 行为 或 遭 到 攻击 的 迹象 。 违 反 安 全 策略 
的 行为 主要 包括 入 侵 和 误 用 。 其 中 入 侵 是 指 非法 用 户 的 违规 行为 ,这 种 行为 通常 是 主动 发 
起 的 ; 误 用 是 指 合法 用 户 的 违规 行为 ,这 种 行为 可 能 是 主动 的 ,也 可 能 是 被 动 的 。 入 侵 检测 
是 网 络 安全 审计 的 核心 技术 之 一 ,也 是 网 络 安全 防护 的 重要 组 成 部 分 。 

人 侵 检测 系统 (IDS) 是 指 用 于 发 现 计算 机 或 网 络 系统 中 存在 人 侵 行 为 的 软 硬 件 系统 。 
入 侵 检测 系统 可 以 检测 人 侵 行 为 并 及 时 报警 ,为 网 络 管理 员 采 取 应 急 措施 提供 依据 ,弥补 被 
动 式 网 络 安全 机 制 ( 如 防火 墙 ) 的 不 足 。 入 侵 检测 系统 的 功能 主要 包括 : 监控 和 分 析 用 户 


图 7.1 IDES 系统 模型 
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行为 及 系统 活动 ,主要 通过 查看 主机 日 志 与 侦 听 数据 包 实 现 ; @ 发 现 入 侵 行为 或 异常 现象 ， 
主要 通过 监控 进出 主机 或 网 络 的 数据 流 ,以 及 评估 系统 关键 资源 与 数据 的 完整 性 实现 ; 
图 记录 与 报警 攻击 行为 ,并 采取 必要 的 响应 措施 。 


7.2 人 侵 检测 系统 的 特点 和 分 类 


目前 ,IDS 的 标准 化 工作 主要 由 IETF 来 完成 。 入 侵 检测 系统 是 指 用 于 检测 任何 损害 
或 企图 损害 系统 的 保密 性 、 完 整 性 或 可 用 性 的 一 种 软 硬 件 系 统 。 由 于 网 络 环境 和 系统 安全 
策略 的 差异 ,入 侵 检 测 系 统 在 具体 实现 上 也 有 所 不 同 。 


7.2.1 入 侵 检 测 系统 的 特点 


一 个 成 功 的 入 侵 检测 系统 至 少 要 满足 以 下 5 个 主要 功能 要 求 。 

(1) 实时 性 要 求 。 如 果 攻 击 或 攻击 的 企图 能 够 尽早 被 发 现 ,这 就 使 得 有 可 能 查找 出 攻 
击 者 的 位 置 ,阻止 进一步 的 攻击 活动 ,把 破坏 控制 在 最 小 限度 ,并 能 够 记录 下 攻击 者 攻击 过 
程 的 全 部 网 络 活动 ,作为 证 据 进行 回放 。 实 时 人 侵 检 测 可 以 避免 在 常规 情况 下 ,管理 员 通 过 
对 系统 日 志 进 行 审 计 的 方式 进行 查找 入 侵 者 或 人 侵 行 为 线索 时 的 种 种 不 便 与 技术 上 的 
限制 。 

(2) 可 扩展 性 要 求 。 因 为 存在 成 千 上 万 种 不 同 的 已 知 和 未 知 的 攻击 手段 ,它们 的 攻击 
行为 特征 也 各 不 相同 。 所 以 必须 建立 一 种 机 制 , 把 入 侵 检测 系统 的 体系 结构 与 使 用 策略 区 
分 开 。 一 个 已 经 建立 的 入 侵 检 测 系统 必须 能 够 保证 在 新 的 攻击 类 型 出 现时 ,可 以 通过 某 种 
机 制 在 无 须 对 入 侵 检 测 系统 本 身 进行 改动 的 情况 下 ,使 系统 能 够 检测 到 新 的 攻击 行为 。 并 
且 在 入侵 检测 系统 的 整体 功能 设计 上 ,也 必须 建立 一 种 可 以 扩展 的 结构 ,以 便 系统 结构 本 身 
能 够 适应 未 来 可 能 出 现 的 扩展 要 求 。 

(3) 适应 性 要 求 。 入 侵 检 测 系统 必须 能 够 适用 于 多 种 不 同 的 环境 ,如 高 速 大 容量 计 
算 机 网 络 环境 ,并 且 在 系统 环境 发 生 改 变 ( 如 增加 环境 中 的 计算 机 系统 数量 、 改 变 计算 机 
系统 类 型 ) 时 ,入 侵 检测 系统 应 当 依然 能 够 正常 工作 。 适 应 性 也 包括 入 侵 检测 系统 本 身 
对 其 宿主 平台 的 适应 性 , 即 跨 平 台 工作 的 能 力 ,适应 其 宿主 平台 软 、 硬 件 配置 的 各 种 不 同 
情况 。 

(4) 安全 性 与 可 用 性 要 求 。 入 侵 检测 系统 必须 尽 可 能 地 完善 与 健壮 ,不 能 向 其 宿主 计 
算 机 系统 及 其 所 属 的 计算 机 环境 中 引入 新 的 安全 问题 及 安全 隐患 ,并 且 入 侵 检 测 系统 应 该 
在 设计 和 实现 中 能 够 有 针对 性 地 考虑 几 种 可 以 预见 的 ,对 应 于 该 入 侵 检测 系统 的 类 型 与 工 
作 原 理 的 攻击 威胁 ,以 及 其 相应 的 抵御 方法 ,以 确保 该 入 侵 检 测 系 统 的 安全 性 与 可 用 性 。 

(5) 有 效 性 要 求 。 能 够 证 明 根 据 某 一 设计 所 建立 的 入侵 检测 系统 是 切实 有 效 的 , 即 对 
于 攻击 事件 的 错 报 与 漏 报 能 够 控制 在 一 定 范围 内 。 


7.2.2 入 侵 检 测 系统 的 基本 结构 


图 7.2 所 示 为 一 个 通用 的 入 侵 检 测 系 统 结 构图 。 很 多 入 侵 检测 系统 还 包括 界面 处 理 、 
配置 管理 等 模块 。 
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图 7.2 通用 入 侵 检 测 系统 的 基本 结构 图 


数据 提取 模块 的 作用 在 于 为 系统 提供 数据 ,数据 的 来 源 可 以 是 主机 上 的 日 志 信息 、 变 动 
信息 ,也 可 以 是 网 络 上 的 数据 信息 ,甚至 是 流量 变化 等 ,这 些 都 可 以 作为 数据 源 。 数 据 提取 
模块 在 获得 数据 之 后 ,需要 对 数据 进行 简单 的 处 理 , 如 简单 的 过 滤 .数据 格式 的 标准 化 等 , 然 
后 将 经 过 处 理 的 数据 提交 给 数据 分 析 模 块 。 

数据 分 析 模 块 的 作用 在 于 对 数据 进行 深入 地 分 析 , 如 发 现 攻 击 并 根据 分 析 的 结果 产生 
事件 ,传递 给 事件 响应 处 理 模 块 。 数 据 分 析 的 方法 多 种 多 样 ,可 以 简单 到 对 某 种 行为 的 计数 
(如 一 定时 间 内 某 个 特定 用 户 登 录 失败 的 次 数 , 或 者 某 种 特定 类 型 报 文 的 出 现 次 数 ), 也 可 以 
是 一 个 复杂 的 专家 系统 。 该 模块 是 一 个 人 侵 检 测 系统 的 核心 。 


7.2.3 入 侵 检测 系统 的 分 类 


根据 着 眼 点 的 不 同 , 对 入 侵 检测 技术 的 分 类 方法 很 多 。 可 以 依照 检测 方法 、 对 入 侵 的 响 
应 方式 和 信息 的 来 源 等 不 同 的 标准 来 划分 人 侵 检 测 系统 。 传 统 的 划分 方法 是 根据 信息 的 来 
源 将 入 侵 检测 系统 分 为 基于 主机 的 入 侵 检测 系统 (Host Intrusion Detection System， 
HIDS) ,基于 网 络 的 入 侵 检测 系统 (Network Intrusion Detection System,NIDS) ,以 及 分 布 
式 人 侵 检 测 系 统 (Distributed Intrusion Detection System,DIDS)。 

1. 基于 主机 的 入 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 通常 安装 在 需要 重点 检测 的 主机 上 ,主要 是 对 该 主机 的 网 络 
实时 连接 及 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 

由 于 基于 主机 的 人 侵 检测 系统 必须 安装 在 需要 保护 的 设备 上 ,这 必定 降低 该 设备 的 工 
作 效 率 。 另 外 ,全 面部 署 主机 入 侵 检测 系统 代价 较 大 ,任何 企业 都 无 法 将 所 有 主机 用 主机 入 
侵 检测 系统 保护 ,只 能 选择 其 中 的 一 部 分 。 此 时 ,那些 未 安装 主机 入 侵 检 测 系统 的 机 器 将 成 
为 保护 的 盲点 ,入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 因 此 , 随 着 网 络 使 用 的 频繁 程度 越 来 
越 高 ,基于 主机 入 侵 检测 系统 将 无 法 适应 这 种 局 面 , 它 只 能 作为 网 络 人 侵 检测 的 一 个 有 力 
补充 。 

2. 基于 网 络 的 入 侵 检测 系统 

NIDS 在 混杂 模式 下 监视 网 段 中 传输 的 各 种 数据 包 , 并 对 这 些 数 据 包 的 内 容 、 源 地 址 、 
目的 地 址 等 进行 分 析 和 检测 。 如 果 发 现 人 侵 行为 或 可 疑 事 件 , 入 侵 检测 系统 就 会 发 出 警报 ， 
其 至 切断 网 络 连接 。 它 通常 安装 在 网 络 上 比较 重要 的 网 段 ,也 可 以 说 容易 出 问题 的 网 段 , 利 
用 网 络 侦 听 技术 ,通过 对 网 络 上 的 数据 流 进行 捕捉 、 分 析 , 以 判断 是 否 存 在 入 侵 。 它 以 网 络 
上 传输 的 信息 包 为 主要 研究 对 象 , 保 护 网 络 的 运行 。 

基于 网 络 的 IDS 成 本 低 , 只 需要 在 网 络 的 关键 点 进行 部 署 即 可 ,其 次 对 那些 基于 协议 
入 侵 的 行为 有 很 好 的 防范 作用 ,并 且 对 攻击 进行 实时 响应 ,而 与 主机 操作 系统 无 关 。 但 是 随 
着 网 络 上 传送 的 数据 包 的 日 益 庞大 ,对 每 个 数据 包 进 行 捕获 分 析 已 经 不 太 现 实 了 ,这 将 严重 
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增加 系统 的 负荷 , 丢 包 现象 将 逐渐 增多 ,从 而 影响 NIDS 的 性 能 。 

基于 对 上 述 两 种 IDS 的 分 析 , 分 布 式 人 侵 检测 系统 已 经 是 现在 和 将 来 人 侵 检测 系统 应 
用 发 展 的 必然 趋势 。 

3. 分 布 式 入 侵 检测 系统 

典型 的 DIDS 是 管理 端 /传感器 结构 。NIDS 作为 传感器 放置 在 网 络 的 各 个 地 方 , 并 向 
中 央 管 理 平台 汇报 情况 。 攻 击 日 志 定时 地 传送 到 管理 平台 并 保存 在 中 央 数 据 库 中 ,新 的 攻 
击 特征 库 能 发 送 到 各 个 传感器 上 。 每 个 传感器 能 根据 所 在 网 络 的 实际 需要 配置 不 同 的 规则 
集 ,报警 信息 能 发 到 管理 平台 的 消息 系统 ,用 各 种 方式 通知 IDS 管理 员 。 

对 DIDS 来 说 ,传感器 可 以 使 用 NIDS 或 HIDS, 或 者 同时 使 用 ,而 且 传感器 有 的 工作 在 
混杂 模式 ,有 的 工作 在 非 混杂 模式 ,然而 无 论 什么 情况 ,DIDS 都 有 一 个 显著 的 特征 , 即 分 布 
在 网 络 不 同位 置 的 传感器 都 向 中 央 管 理 平 台 传送 报警 和 日 志 信息 。 





7.3 人 侵 检 测 的 技术 模型 


最 早 的 入侵 检测 模型 由 Dorothy Denning 在 1986 年 提出 。 这 个 模型 与 具体 系统 和 具 
体 输入 无 关 , 对 此 后 的 大 部 分 实用 系统 都 有 很 好 的 借鉴 价值 。 图 7. 3 所 示 为 人 侵 检 测 模型 
的 体系 结构 。 
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事件 产生 器 | 行为 特征 模块 睹 一 “| 规则 模块 
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图 7.3 入 侵 检 测 模型 


事件 产生 器 的 任务 是 从 入 侵 检 测 系统 之 外 的 计算 机 环境 中 收集 事件 ,一 般 可 来 自 审计 
记录 、 网 络 数据 包 及 其 他 可 视 行为 。 这 些 事件 构成 了 检测 的 基础 。 

行为 特征 模块 是 整个 检测 系统 的 核心 , 它 包含 了 用 于 计算 用 户 行为 特征 的 所 有 变量 ,这 
些 变 量 可 根据 具体 所 采纳 的 统计 方法 及 事件 记录 中 的 具体 动作 模式 而 定义 ,并 根据 匹配 的 
记录 数据 更 新 变量 值 。 如 果 有 统计 变量 的 值 达到 了 异常 程度 , 则 行为 特征 表 产 生 异 常 记录 ， 
并 采取 一 定 措施 。 

规则 模块 可 以 由 系统 安全 策略 、 入 侵 模 式 等 组 成 。 它 一 方面 为 判断 是 否 人 侵 提 供 参 考 
机 制 , 另 一 方面 根据 事件 记录 、 异 常 记录 及 有 效 日 期 等 控制 并 更 新 其 他 模块 的 状态 。 在 具体 
实现 上 ,规则 的 选择 与 更 新 可 能 不 尽 相同 ,但 一 般 来 说 ,行为 特征 模块 执行 基于 行为 的 检测 ， 
而 规则 模块 执行 基于 知识 的 检测 。 这 两 种 方法 具有 一 定 的 互补 性 ,在 实际 系统 中 经 常 结合 
使 用 。 

入 侵 行为 的 属性 可 分 为 异常 (Anomaly) 和 误 用 (Misuse) 两 种 ,分 别 对 其 建立 异常 检测 
模型 和 误 用 检测 模型 ,在 对 入 侵 行为 进行 分 析 。 从 这 个 角度 来 看 ,入 侵 监 测 系 统 可 分 为 基于 
异常 检测 和 基于 误 用 检测 两 类 。 下 面 分 别 介绍 这 两 类 入 侵 检测 系统 。 
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7.3.1 基于 异常 的 入 侵 检 测 


基于 异常 的 人 侵 检 测 (Anomaly Detection) 基 于 以 下 原则 : 任何 一 种 入 侵 和 误 用 行为 
通常 与 正常 的 行为 存在 严重 的 差异 ,通过 检查 出 这 些 差异 就 可 以 检查 出 入 侵 。 这 种 方法 
主要 是 建立 计算 机 系统 中 正常 行为 的 模式 库 , 然 后 根据 收集 到 的 信息 数据 ,通过 某 种 方 
法 ,看 是 否 存在 重大 偏差 ,如 果 偏 差 在 规定 范围 之 外 , 则 认为 发 生 了 入 侵 行 为 ,否则 视 为 
正常 。 

异常 检测 的 一 个 很 大 的 优点 是 不 需要 保存 各 种 攻击 特征 的 数据 库 , 随 着 统计 数据 的 增 
加 ,检测 的 准确 性 会 越 来 越 高 ,可 能 还 会 检测 到 一 些 未 知 的 攻击 。 但 由 于 用 户 的 行为 有 很 大 
的 不 确定 性 ,很 难 对 其 行为 确定 出 正常 范围 ,因此 门限 值 的 确定 也 比较 困难 ,出 错 的 概率 比 
较 大 。 同 时 , 它 只 能 说 明 系 统 发 生 了 异常 的 情况 ,并 不 能 指出 系统 遭受 了 什么 样 的 攻击 ,这 
给 系统 管理 员 采 取 应 对 措施 带 来 了 一 定 困难 。 

异常 检测 中 常用 的 方法 有 量化 分 析 、 统 计 分 析 和 神经 网 络 。 

1. 量化 分 析 


量化 分 析 是 异常 检测 中 使 用 最 为 广泛 的 方案 ,其 特点 是 使 用 数字 来 定义 检测 规则 和 系 
统 属性 。 量 化 分 析 通 常 涉及 一 系列 的 计算 过 程 ,包括 从 简单 的 计数 到 复杂 的 加 密 运 算 , 计 算 
的 结果 可 以 作为 异常 检测 统计 模型 的 数据 基础 。 常 用 的 量化 分 析 方 法 有 门限 检测 、 启 发 式 
门限 检测 和 目标 完整 性 检查 。 

门限 检测 的 基本 思想 是 使 用 计数 器 来 描述 系统 和 用 户 行为 的 某 些 属性 ,并 设 定 可 以 接 
受 的 数值 范围 ,一旦 在 检测 过 程 中 发 现 系 统 的 实际 属性 超出 了 设 定 的 门限 值 ,就 认为 系统 出 
现 了 异常 。 门 限 检测 最 经 典 的 例子 是 操作 系统 设 定 的 允许 登录 失败 的 最 大 次 数 。 其 他 可 以 
设置 门限 的 系统 属性 还 有 特定 类 型 的 网 络 连接 数 、 试 图 访问 文件 的 次 数 、. 访 问 文件 或 目录 的 
个 数 及 所 访问 网 络 系统 的 个 数 等 。 

启发 式 门限 检测 是 对 门限 检测 的 改进 ,对 于 包含 大 量 用 户 和 目标 环境 的 系统 来 说 ,可 以 
大 幅度 地 提高 检测 的 准确 性 。 举 例 来 说 ,传统 的 门限 检测 规则 是 : 一 个 小 时 内 ,如 果 登 录 失 
败 的 次 数 大 于 3 次 ,就 认为 出 现 异常 ; 而 启发 式 门限 检测 将 这 个 规则 定义 为 登录 失败 的 次 
数 大 于 一 个 异常 数 ,就 会 发 出 警报 。 这 个 异常 数 可 以 使 用 多 种 方法 来 设 定 ,例如 ,使 用 高 斯 
函数 计算 平均 的 登录 失败 次 数 m, 并 计算 出 标准 的 偏 移 量 98, 在 检测 过 程 中 将 实际 登录 失败 
的 次 数 与 m 十 6 比较 ,检查 是 否 超 出 门限 。 

目标 完整 性 检查 是 对 系统 中 的 某 些 关 键 对 象 ,检查 其 是 否 受到 无 意 或 恶意 的 更 改 。 通 
常 是 使 用 消息 摘要 函数 计算 系统 对 象 的 密码 校 验 值 , 并 将 计算 得 到 的 值 存放 在 安全 的 区 域 。 
系统 定时 地 计算 校 验 值 ,并 与 预先 存储 值 比较 ,如 果 发 现 偏差 ,就 发 出 报警 信息 。 

2. 统计 分 析 


统计 分 析 技 术 采 用 统计 分 析 的 方法 为 每 一 个 系统 用 户 和 系统 主体 建立 统计 行为 模式 。 
所 建立 的 模式 被 定期 地 更 新 ,以 便 及 时 反映 用 户 行为 随时 间 推 移 而 产生 的 变化 。 检 测 系统 
维护 一 个 由 行为 模式 组 成 的 统计 知识 库 , 每 个 模式 采用 一 系列 系统 度量 (如 文件 的 访问 、 终 
端的 使 用 .CPU 的 时 间 占 用 等 ) 来 表示 特定 用 户 的 正常 行为 , 当 用 户 的 行为 偏离 其 正常 的 行 
为 模式 时 ,就 认为 发 生 了 入 侵 。 
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统计 分 析 的 方法 可 以 针对 那些 冒充 合法 用 户 的 入 侵 者 ,通过 发 现 其 异常 的 行为 来 发 现 
和 人 入侵 ,并 且 不 需要 像 误 用 检测 系统 那样 需要 维护 规则 库 。 但 是 统计 分 析 所 采用 的 度量 必须 
精心 挑选 ,要 能 根据 用 户 行为 的 改变 产生 一 致 性 变化 。 同 时 统计 分 析 的 方法 多 是 以 批 处 理 
的 方式 对 审计 记录 进行 分 析 的 ,因此 实时 性 较 差 。 

3. 神经 网 络 

神经 网 络 是 人 工 智 能 研究 中 的 一 项 技术 , 它 是 由 大 量 并 行 的 分 布 式 处 理 单元 组 成 的 。 
每 个 单元 都 能 存储 一 定 的 “知识 ”, 单 元 之 间 通 过 带 有 权 值 的 连接 进行 交互 。 神 经 网 络 所 包 
含 的 知识 体现 在 网 络 结构 中 ,学 习 过 程 也 就 表现 为 权 值 的 改变 和 连接 的 增加 或 删除 。 

利用 神经 网 络 进行 人 侵 检 测 包括 两 个 阶段 。 首 先是 训练 阶段 ,这 个 阶段 使 用 代表 用 户 
行为 的 历史 数据 进行 训练 ,完成 神经 网 络 的 构建 和 组 装 ; 接着 便 进入 入 侵 分 析 阶 段 , 网 络 接 
收 输入 的 事件 数据 与 参考 的 历史 行为 比较 ,判断 出 两 者 的 相似 度 或 偏离 度 。 神 经 网 络 使 用 
以 下 方法 来 标示 异常 的 事件 : 改变 单元 的 状态 ,改变 连接 的 权 值 ` 添 加 或 删除 连接 。 同 时 也 
具有 对 所 定义 的 正常 模式 进行 逐步 修正 的 功能 。 


7.3.2 基于 误 用 的 入 侵 检测 


基于 误 用 的 人 侵 检 测 (Misuse Detection) 的 工作 原理 是 收集 非 正 常 操作 的 行为 特征 , 建 
立 相 关 的 特征 库 , 也 就 是 所 谓 的 专家 知识 库 。 通 过 监测 用 户 或 系统 行为 ,将 收集 到 的 数据 与 
预先 确定 的 特征 知识 库 里 的 各 种 攻击 模式 进行 比较 ,如 果 能 够 匹配 , 则 判断 有 攻击 ,系统 就 
认为 该 行为 是 入 侵 。 误 用 入 侵 检 测 技 术 有 时 也 称 为 规则 入 侵 检测 技术 。 顾 名 思 义 ,是 进行 
规则 库 的 匹配 。 

误 用 检测 能 迅速 发 现 已 知 的 攻击 ,并 指出 攻击 的 类 型 ,便于 采取 应 对 措施 ; 同时 用 户 可 
以 根据 自身 情况 选择 所 要 监控 的 事件 类 型 和 数量 ; 并 且 误 用 检测 没有 浮 点 运算 ,效率 较 高 。 
但 其 缺点 也 是 显而易见 的 : 由 于 依赖 误 用 模式 库 , 它 只 能 检测 数据 库 中 已 有 的 攻击 ,对 未 知 
的 攻击 无 能 为 力 , 这 便 要 求 不 断 地 升级 数据 库 ,加 入 新 攻击 的 特征 码 ; 随 着 数据 库 的 不 断 扩 
大 ,检测 所 要 耗费 的 存储 和 计算 资源 也 会 越 来 越 大 ; 由 于 没有 通用 的 模式 定义 语言 ,数据 库 
的 扩展 很 困难 ,增加 自己 的 模式 往往 很 复杂 ; 并 且 将 对 攻击 的 自然 语言 描述 转换 成 模式 是 
比较 困难 的 ,如 果 模 式 不 能 被 正确 定义 ,将 无 法 检测 到 入侵 。 

误 用 检测 中 常用 的 方法 有 简单 的 模式 匹配 专家 系统 和 状态 转移 法 。 

1. 简单 的 模式 匹配 

简单 的 模式 匹配 是 最 为 通用 的 误 用 检测 技术 , 它 拥有 一 个 攻击 特征 数据 库 。 如 果 当 前 
被 检测 的 数据 与 数据 库 中 的 某 个 模式 (规则 ) 相 匹配 ,就 认为 发 生 了 入 侵 行 为 。 这 种 方法 的 
特点 是 原理 简单 .扩展 性 好 检测 效率 高 、 可 以 实时 监测 ,但 只 适用 于 检测 比较 简单 的 攻击 ， 
并 且 误 报 率 高 。 由 于 其 实现 .配置 和 维护 都 非常 方便 ,因此 得 到 了 广泛 的 应 用 。Snort 系统 
就 采用 了 这 种 检测 手段 。 

2. 专家 系统 


专家 系统 是 最 早 的 误 用 检测 方案 之 一 ,被 许多 人 侵 检测 模型 所 使 用 。 
专家 系统 的 应 用 方式 是 : 首先 使 用 类 似 于 让 then 的 规则 格式 输入 已 有 的 知识 (攻击 模 
式 ) ,然后 输入 检测 数据 (审计 事件 记录 ) ,系统 根据 知识 库 中 的 内 容 对 检测 数据 进行 评估 , 判 
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断 是 否 存在 入 侵 行 为 模式 。 专 家 系统 的 优点 在 于 把 系统 的 推理 控制 过 程 和 问题 的 最 终 解 答 
相 分 离 , 即 用 户 不 需要 理解 或 干预 专家 系统 内 部 的 推理 过 程 ,而 只 需 把 专家 系统 看 成 是 一 个 
黑 盒 。 

专家 系统 应 用 于 入 侵 检测 时 ,存在 以 下 一 些 实际 问题 。 

(1) 处 理 海 量 数据 时 的 效率 问题 。 专 家 系统 的 推理 和 决策 模块 通常 使 用 解释 型 语言 实 
现 , 执 行 速度 比 编译 型 语言 要 慢 。 

(2) 缺乏 处 理 序 列 数据 的 能 力 , 即 数据 前 后 的 相关 性 问题 。 

(3) 专家 系统 的 性 能 取决 于 设计 者 的 知识 和 技能 。 

(4) 只 能 检测 已 知 的 攻击 模式 。 

(5) 无 法 处 理 判断 的 不 确定 性 。 

规则 库 的 维护 是 一 项 艰巨 的 任务 ,更 改 规则 时 必须 考虑 到 对 知识 库 中 其 他 规则 的 影响 。 

3. 状态 转移 法 

状态 转移 法 (State Transition Approaches) 采 用 优化 的 模式 匹配 技术 来 处 理 误 用 检测 
的 问题 ,这 种 方法 采用 系统 状态 和 状态 转移 的 表达 式 来 描述 已 知 的 攻击 模式 。 基 于 状态 转 
移 的 入侵 检测 方法 主要 有 状态 转移 分 析 和 着 色 Petri 网 (CP-Nets) 两 种 方法 。 状 态 转移 分 
析 是 通过 检测 攻击 行为 所 引起 的 系统 状态 的 变化 来 发 现 入 侵 的 ,而 着 色 Petri 网 则 是 通过 
对 攻击 行为 本 身 的 特征 进行 模式 匹配 来 检测 入 侵 的 。 

1) 状态 转移 分 析 

状态 转移 分 析 (State Transition Analysis) 是 使 用 状态 转移 图 来 表示 和 检测 已 知 攻击 模 
式 的 误 用 检测 技术 。NetSTAT 系统 采用 了 这 种 技术 。 

状态 转移 分 析 使 用 有 限 状 态 机 模型 来 表示 入 侵 过 程 。 入 侵 过 程 是 由 一 系列 导致 系统 从 
初始 状态 转移 到 入 侵 状 态 的 行为 组 成 的 。 初 始 状态 表示 在 入 侵 发 生 之 前 的 系统 状态 ,入 侵 
状态 则 表示 入 侵 完 成 后 系统 所 处 的 状态 。 系 统 状 态 通 常 使 用 系统 属性 或 用 户 权 限 来 描述 。 
用 户 的 行为 和 动作 会 导致 系统 状态 的 改变 , 当 系 统 状态 由 正常 状态 改变 为 入侵 状态 时 , 即 认 
为 发 生 了 入 侵 。 

2) 着 色 Perti 网 

另 一 种 采用 状态 转移 技术 来 优化 误 用 检测 的 方法 是 由 Purdue University 的 Sandeep 
Kumar 和 Gene Spafford 设计 的 着 色 Petri 网 (CP-Net)。 

这 种 方法 将 入 侵 表 示 成 一 个 着 色 的 Petri 网 ,特征 匹配 过 程 由 标记 (Token) 的 动作 构 
成 。 标 记 在 审计 记录 的 驱动 下 ,从 初始 状态 向 最 终 状态 (标识 入 侵 发 生 的 状态 ) 逐 步 前 进 。 
处 于 各 个 状态 时 ,标记 的 颜色 用 来 表示 事件 所 处 的 系统 环境 (Context) 。 当 标记 出 现 某 种 特 
定 的 颜色 时 ,预示 着 目前 的 系统 环境 满足 了 特征 匹配 的 条 件 , 此 时 就 可 以 采取 相应 的 响应 
动作 。 

误 用 检测 的 原理 简单 ,很 容易 配置 ,特征 知识 库 也 容易 扩充 ,但 它 存 在 一 个 致命 的 弱 
点 一 一 只 能 检测 已 知 的 攻击 方法 和 技术 。 异 常 检 测 可 以 检测 出 已 知 的 和 未 知 的 攻击 方法 和 
技术 ,问题 是 正常 行为 标准 只 能 采用 人 工 智能 、 机 器 学 习 算 法 等 来 生成 ,并 且 需 要 大 量 的 数 
据 和 时 间 , 同 时 现在 人 工 智 能 和 机 器 学 习 算法 仍 处 于 研究 阶段 。 所 以 现在 的 入 侵 检测 系统 
大 多 采用 误 用 检测 的 分 析 方 法 。 


182 计算 机 信息 安全 技术 (第 2 版 ) 





7.4 分 布 式 人 侵 检 测 


传统 的 入 侵 检测 系统 通常 都 属于 自主 运行 的 单机 系统 。 无 论 是 基于 网 络 数据 源 , 还 是 
基于 主机 数据 源 ; 无 论 是 采用 误 用 检测 技术 还 是 采用 异常 检测 技术 ,在 整个 数据 处 理 过 程 
中 ,包括 数据 的 收集 、 预 处 理 、 分 析 、 检 测 ,以 及 检测 到 入 侵 后 采取 的 响应 措施 ,都 由 单个 监控 
设备 或 监控 程序 完成 。 然 而 ,在 面临 大 规模 、 分 布 式 的 应 用 环境 时 ,这 种 传统 单机 方式 就 遇 
到 了 极 大 的 挑战 。 在 这 种 条 件 下 ,要求 各 入 侵 检测 系统 之 间 能 够 实现 高 效 的 信息 共享 和 协 
作 检 测 。 在 大 范围 网 络 中 部 署 有 效 的 入 侵 检测 系统 已 经 成 为 一 项 新 的 安全 需求 ,推动 了 分 
布 式 人 侵 检测 系统 (DIDS) 的 诞生 和 不 断 发 展 。 

分 布 式 人 侵 检 测 是 目前 入 侵 检 测 乃 至 整个 网 络 安全 领域 的 热点 之 一 。 通 常 采用 的 方 
法 中 ,一 种 是 对 现 有 的 IDS 进行 规模 上 的 扩展 , 另 一 种 则 通过 IDS 之 间 的 信息 共享 来 实 
现 。 具 体 的 处 理 方法 也 有 两 种 : 分 布 式 信息 收集 和 集中 式 处 理 ; 分 布 式 信息 收集 和 分 布 
式 处 理 。 前 者 以 DIDS、NADIR 和 ASAX 为 代表 ,后 者 则 采用 了 分 布 式 计算 的 方法 ,降低 
了 对 中 心计 算 能 力 的 依赖 ,同时 也 减少 了 对 网 络 带宽 带 来 的 压力 ,因此 有 更 好 的 发 展 
前 景 。 


7.4.1 分 布 式 入 侵 检 测 的 优势 


分 布 式 入 侵 检 测 由 于 采用 了 非 集中 式 的 系统 结构 和 处 理 方式 ,相对 于 传统 的 单机 IDS 
具有 一 些 明显 的 优势 。 

(1) 检测 大 范围 的 攻击 行为 。 传 统 的 基于 主机 的 人 侵 检测 系统 只 能 通过 检查 系统 日 志 
和 审计 记录 来 对 单个 主机 的 行为 或 状态 进行 监测 ,即使 是 采用 网 络 数据 源 的 人 侵 检测 系统 ， 
也 仅 在 单个 网 段 内 有 效 。 对 于 一 些 针 对 多 主机 、 多 网 段 和 多 管理 域 的 攻击 行为 ,如 大 范围 的 
脆弱 性 扫描 或 拒绝 服务 攻击 ,由 于 不 能 在 检测 系统 之 间 实 现 信息 交互 ,通常 无 法 完成 准确 和 
高 效 的 检测 任务 。 

分 布 式 人 侵 检 测 通过 各 个 检测 组 件 之 间 的 相互 协作 ,可 以 有 效 克 服 这 一 缺陷 。 

(2) 提高 检测 的 准确 度 。 不 同 的 入 侵 检测 数据 源 反映 的 是 系统 不 同位 置 .不同 角度 不 
同 层次 的 运行 特性 ,可 以 是 系统 日 志 、 审 计 记 录 或 网 络 数据 包 等 。 传 统 的 入侵 检测 系统 为 了 
简化 检测 过 程 和 算法 复杂 度 ,通常 采用 单一 类 型 的 数据 源 。 这 虽然 可 以 提高 系统 的 检测 效 
率 ,但 是 也 导致 了 检测 系统 输入 数据 的 不 完备 。 另 外 ,检测 引擎 如 果 采 用 单一 的 算法 进行 数 
据 分 析 ,同样 可 能 导致 分 析 结 果 不 准 确 。 

分 布 式 入 侵 检 测 系统 各 个 检测 组 件 针对 不 同 数据 来 源 ,可 以 是 网 络 数 据 包 、 主 机 审计 记 
录 、 系 统 日 志 , 也 可 以 是 特定 应 用 程序 的 日 志 , 其 至 还 可 以 是 一 些 通过 人 工 方式 输入 的 审计 
数据 。 各 个 检测 组 件 所 使 用 的 检测 算法 也 不 是 固定 的 ,有 模式 匹配 、 状 态 分 析 、 统 计 分 析 和 
量化 分 析 等 ,可 以 分 别 应 用 于 不 同 的 检测 组 件 。 系 统 通 过 对 各 个 组 件 报告 的 人 侵 或 异常 特 
征 ,进行 相关 分 析 , 可 以 得 出 更 为 准确 的 判断 结果 。 

(3) 提高 检测 效率 。 分 布 式 人 侵 检测 实现 了 针对 安全 审计 数据 的 分 布 式 存储 和 分 布 式 
计算 ,相对 于 单机 数据 分 析 的 入 侵 检测 系统 来 说 ,这 将 不 再 依赖 系统 中 唯一 的 计算 资源 和 存 
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储 资源 ,可 以 有 效 地 提高 系统 的 检测 效率 ,减少 人 侵 发 现时 间 。 

(4) 协调 响应 措施 。 由 于 分 布 式 入 侵 检测 系统 的 各 个 检测 组 件 分 布 于 受 监控 网 络 的 各 
个 位 置 ,一 旦 系统 检测 到 攻击 行为 ,可 以 根据 攻击 数据 包 在 网 络 中 经 过 的 物理 路 径 采 取 相 应 
的 措施 ,如 封锁 攻击 方 的 网 络 通路 、 入 侵 来 源 追 踪 等 。 即 使 攻击 者 使 用 网 络 跳 转 的 方式 隐藏 
真实 的 IP 地 址 ,在 检测 系统 的 监控 范围 内 通过 对 事件 数据 进行 相关 和 聚合 ,仍然 有 可 能 追 
查 到 攻击 者 的 真实 来 源 。 


7.4.2 分 布 式 入侵 检 测 技术 的 实现 


与 传统 的 单机 IDS 相 比 , 分 布 式 人 侵 检测 系统 具有 明显 的 优势 。 然 而 ,在 实现 分 布 检 
测 组 件 的 信息 共享 和 协作 上 却 存 在 很 多 技术 上 的 难点 ,如 分 布 式 的 事件 产生 和 存储 问题 、 知 
识 库 的 分 布 式 环境 下 的 管理 问题 ,分 布 式 环境 下 安全 审计 数据 的 处 理 问题 等 。 尽 管 分 布 式 
和 侵 检 测 技术 存在 技术 上 和 其 他 层面 上 的 困难 ,但 由 于 其 相对 单机 IDS 所 具有 的 优势 , 目 
前 已 经 成 为 人 侵 检 测 领域 的 热点 问题 。 到 目前 为 止 , 已 经 提出 了 多 种 分 布 式 人 侵 检测 技术 
的 实现 方法 。 


1. Snortnet 


Snortnet 是 在 原理 和 具体 实现 上 最 为 简单 的 一 种 方式 ,通过 对 传统 的 单机 IDS 进行 大 
规模 的 扩展 ,使 系统 具备 分 布 式 检 测 的 能 力 。 典 型 代表 是 由 Kyrgyz Russian Slavic 大 学 的 
Yarochkin Fyodor 所 提出 的 Snortnet。Snortnet 是 基于 模式 匹配 的 分 布 式 人 侵 检 测 系统 的 
一 个 具体 实现 。 系 统 包括 3 个 主要 组 件 : 网 络 传感器 .代理 守护 程序 和 监视 控制 台 。 采 用 
这 种 方式 构建 分 布 式 入 侵 检测 系统 ,其 特点 是 原理 简单 ,系统 实现 也 非常 方便 ,因此 作为 商 
业 化 产品 是 比较 适合 的 。 但 由 于 其 检测 能 力 仍 然 依赖 于 单机 IDS, 只 是 在 系统 的 通信 和 管 
理 能 力 上 进行 了 改进 ,因此 并 没有 体现 出 分 布 式 入 侵 检测 的 真正 优势 。 

2. Agent-Based 分 布 式 入 侵 检测 

基于 Agent 的 IDS 由 于 其 良好 的 灵活 性 和 扩展 性 ,是 分 布 式 入 侵 检测 的 一 个 重要 研究 
方向 。 国 外 一 些 研 究 机 构 在 这 方面 已 经 做 了 大 量 工作 ,其 中 以 Purdue 大 学 的 入 侵 检 测 自治 
代理 (Autonomous Agents for Intrusion Detection, AAFID) 和 SRI 的 EMERALD(Event 
Monitoring Enabling Response to Anomalous Live Disturbances) 最 具 代表 性 。 

AAFID 的 体系 结构 如 图 7. 4 所 示 , 其 特点 
是 形成 了 一 个 基于 代理 的 分 层 顺序 控制 和 报告 
结构 。 一 台 主 机 上 可 驻 留 任意 数量 的 代理 ,收发 
器 负责 监控 运行 在 主机 上 的 所 有 代理 ,向 其 发 送 
开始 、 停 止 和 重新 配置 命令 ,并 对 代理 收集 的 信 
息 执 行 数据 精简 ,然后 向 一 个 或 多 个 监视 器 及 上 
一 级 分 层 报告 结果 。 由 于 AAFID 的 体系 结构 允 
许 元 余 接 收 器 的 汇报 ,因此 个 别 监视 器 的 失效 并 
不 影响 入 侵 检测 系统 的 性 能 。 监 视 器 具有 监控 
整个 网 络 数 据 的 能 力 , 并 可 以 对 接收 器 的 结果 执 
行 高 级 聚合 ,系统 提供 的 用 户 接 口 可 用 于 管理 员 图 7.4 AAFID 体系 结构 图 








监视 器 
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输入 控制 监视 器 的 命令 。 

使 用 分 布 式 代 理 方 法 进行 人 侵 检测 的 另 一 个 系统 是 SRI 研制 开发 的 EMERLD 系统 ， 
该 系统 在 形式 和 功能 上 与 AAFID 自动 代理 相似 ,其 中 心 组 件 是 EMERLD 服务 监控 器 , 监 
控 器 以 可 编程 方式 部 署 在 主机 上 执行 不 同 的 功能 。 由 于 EMERLD 将 分 析 语 义 从 分 析 和 响 
应 逻辑 中 分 离 出 来 ,因此 在 整个 网 络 上 更 易 集 成 ,具有 在 不 同 抽象 层次 上 进行 分 析 的 重要 能 
力 , 这 体现 了 现代 入 侵 检 测 系统 的 一 个 重要 特征 , 即 协作 性 。 

3. DIDS 

DIDS 是 由 加 州 大 学 戴 维 斯 分 校 的 Security Lab 完成 的 , 它 集成 了 两 种 已 有 的 入 侵 检测 
系统 : Haystack 和 NSM。 前 者 由 Tractor Applied Sciences and Haystack 实验 室 针 对 多 用 
户主 机 的 检测 任务 而 开发 ,数据 源 来 自主 机 的 系统 日 志 。NSM 则 是 由 加 州 大 学 戴 维 斯 分 校 
开发 的 网 络 安 全 监视 器 ,通过 对 数据 包 、 连 接 记录 和 应 用 层 会 话 的 分 析 , 结 合 人 侵 特 征 库 和 
正常 网 络 流 或 会 话 记录 的 模式 库 , 判 断 当 前 的 网 络 行为 是 否 包 含 和 人 侵 或 异常 。DIDS 综合 
了 两 者 的 功能 ,并 在 系统 结构 和 检测 技术 上 进行 了 改进 。DIDS 由 主机 监视 器 .局域网 监视 
器 和 控制 器 3 个 组 件 组 成 ,其 中 控制 器 是 系统 的 核心 组 件 , 采 用 基于 规则 的 专家 系统 作为 分 
析 引 擎 。 另 外 ,DIDS 系统 还 提供 了 一 种 基于 主机 的 追踪 机 制 , 凡 是 在 DIDS 监测 下 的 主机 
都 能 够 记录 用 户 的 活动 ,并 且 将 记录 发 往 中 心计 算 节 点 进行 分 析 , 因 此 DIDS 具有 在 自己 监 
测 网 络 下 的 入 侵 追 踪 能 力 。DIDS 虽然 在 结构 上 引入 了 分 布 式 的 数据 采集 和 部 分 的 数据 分 
析 , 但 其 核心 分 析 功 能 仍然 由 单一 的 中 心 控制 器 来 完成 ,因此 并 不 是 完全 意义 上 的 分 布 式 入 
侵 检测 。 其 入 侵 追 踪 功 能 的 实现 也 要 求 追 踪 范 围 在 系统 的 监控 网 络 之 内 ,显然 在 Internet 
范围 内 大 规模 地 部 署 这 样 的 检测 系统 是 不 现实 的 。 

4. GrIDS 

GrIDS 同样 由 UC Davis 提出 并 实现 ,该 系统 实现 了 一 种 在 大 规模 网 络 中 使 用 图 形 化 
表示 的 方法 来 描述 网 络 行为 的 途径 ,其 设计 目标 主要 针对 大 范围 的 网 络 攻 击 , 如 扫描 ,协同 
攻击 和 网 络 蠕虫 等 。GrIDS 的 缺陷 在 于 只 是 给 出 了 网 络 连 接 的 图 形 化 表示 ,具体 的 入 侵 判 
断 仍 然 需要 人 工 完 成 。 而 且 系统 的 有 效 性 和 效率 都 有 待 验证 和 提高 。 

5. 数据 融合 

Timm Bass 提出 将 数据 融合 (Data Fusion) 的 概念 应 用 到 入 侵 检测 中 ,从 而 将 分 布 式 入 
侵 检测 任务 理解 为 在 层次 化 模型 下 对 多 个 感应 器 的 数据 综合 问题 。 在 这 个 层次 化 的 模型 
中 ,入 侵 检测 的 数据 源 经 历 了 从 数据 到 信息 再 到 知识 3 个 逻辑 抽象 层次 。 入 侵 检测 数据 融 
合 的 重点 在 于 使 用 已 知 的 入 侵 检 测 模板 和 模式 识别 ,这 与 前 面 介绍 的 数据 挖掘 不 同 ,数据 挖 
掘 注重 于 发 掘 先前 未 发 现 的 入侵 中 隐藏 的 模式 ,以 帮助 发 现 新 的 检测 模板 。 








7.5 人 侵 防护 系统 


为 了 能 更 好 地 保护 网 络 和 系统 免 遭 越 来 越 复杂 的 攻击 威胁 ,人 们 不 仅 需 要 可 以 快速 \ 准 
确 地 检测 攻击 行为 ,还 需要 有 效 地 协调 安全 措施 ,对 攻击 立即 采取 应 对 措施 ,以 便 在 应 对 攻 
击 的 过 程 中 不 会 浪费 时 间 和 资源 , 正 是 在 这 种 需求 下 入 侵 防 护 系统 (Intrusion Prevention 
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System,，IPS) 应 运 而 生 。 
7.5.1 人 入侵 防护 系统 的 原理 


入 侵 防 护 系 统 是 一 种 主动 的 ,智能 的 入 侵 检 测 系 统 , 能 预先 对 入 侵 行为 和 攻击 性 网 络 流 
量 进行 拦截 ,避免 其 造成 任何 损失 , 它 不 是 简单 地 在 恶意 数据 包 传送 时 或 传送 后 才 发 出 报警 
信号 。IPS 通常 部 署 在 网 络 的 进出 口 处 , 当 它 检测 到 攻击 企图 后 ,就 会 自动 地 将 攻击 包 丢掉 
或 采取 措施 将 攻击 源 阻 断 。 

入 侵 防 护 系 统 与 IDS 在 检测 方面 的 原理 基本 相同 , 它 首先 由 信息 采集 模块 实施 信息 收 
集 , 内 容 包 括 网 络 数据 包 、 系 统 审 计数 据 ,以 及 用 户 活动 状态 及 行为 等 。 利 用 来 自 网 络 数据 
包 和 系统 日 志文 件 、 目 录 和 文件 中 的 不 期 望 的 改变 ,程序 执行 中 的 不 期 望 行为 ,以 及 物理 形 
式 的 人 侵 信 息 等 内 容 , 然 后 利用 模式 匹配 .协议 分 析 、 统 计 分 析 和 完整 性 分 析 等 技术 手段 ,由 
检测 引擎 对 收集 到 的 有 关 信 息 进行 分 析 , 最 后 由 响应 模块 对 分 析 后 的 结果 做 出 适当 的 响应 。 
人 侵 防 护 系 统 与 传统 的 IDS 的 主要 区 别 是 自动 拦截 和 在 线 运行 ,二 者 缺 一 不 可 ,防护 工具 
( 软 / 硬 件 方案 ) 必 须 设置 相关 策略 ,以 对 攻击 自动 做 出 响应 。 当 攻击 者 试图 与 目标 服务 器 建 
立会 话 时 ,所 有 数据 都 会 经 过 IPS 位 于 活动 数据 路 径 中 的 传感器 ,传感器 检测 数据 流 中 的 恶 
意 代码 并 核对 策略 ,在 未 转发 到 服务 器 之 前 将 含有 恶意 代码 的 数据 包 拦截 。 由 于 是 在 线 实 
时 运作 ,因而 能 保证 处 理 方法 适当 并 且 可 预知 。 


7.5.2 IPS 关键 技术 


与 IDS 不同 ,IPS 使 用 了 多 项 关键 技术 。 

(1) 主动 防御 技术 。 通 过 对 关键 主机 和 服务 的 数据 进行 全 面 的 强制 性 防护 ,对 其 操作 
系统 进行 加 固 , 并 对 用 户 权力 进行 适当 限制 ,以 达到 保护 驻 留 在 主机 和 服务 器 上 数据 的 效 
果 。 这 种 防范 方式 不 仅 能 够 主动 识别 已 知 攻击 方法 ,对 于 恶意 的 访问 可 以 做 到 拒绝 访问 ,并 
且 能 够 成 功 防范 未 知 的 攻击 行为 。 

(2) 防火 墙 与 IPS 联动 技术 。 

@ 开放 接口 实现 联动 , 即 防火 墙 或 IPS 产品 开放 一 个 接口 供 对 方 调用 ,按照 一 定 的 协 
议 进行 通信 、 传 输 警报 。 该 方式 比较 灵活 ,防火墙 可 以 行使 它 第 一 层 访 问 控制 的 防御 功能 ， 
IPS 系统 可 以 行使 它 第 二 层 检测 人 侵 的 防御 功能 ,丢弃 恶意 通信 ,确保 该 通信 不 能 到 达 目 的 
地 ,并 通知 防火 墙 进行 阻 断 。 由 于 是 两 个 系统 的 配合 运作 ,因此 要 重点 考虑 防火 墙 和 IPS 联 
动 的 安全 性 。 

@ 紧密 集成 实现 联动 ,把 IPS 技术 与 防火 墙 技术 集成 到 同一 个 硬件 平台 上 ,在 统一 操 
作 系 统管 理 下 有 序 地 运行 ,所 有 通过 该 硬件 平台 的 数据 不 仅 要 接受 防火 墙 规则 的 验证 ,还 要 
被 检测 判断 是 否 含有 攻击 ,以 达到 真正 的 实时 阻 断 。 

(3) 集成 多 种 检测 技术 。IPS 有 可 能 引发 误 操作 ,阻塞 合法 的 网 络 事件 ,造成 数据 丢 
失 。 为 避免 发 生 这 种 情况 ,IPS 集成 采用 了 多 种 检测 方法 ,最 大 限度 地 正确 判断 已 知 和 未 
知 的 攻击 。 其 检测 方法 包括 误 用 检测 和 异常 检测 ,增加 状态 信号 .协议 和 通信 和 异常 分 析 
功能 ,以 及 后 门 和 二 进 制 代码 检测 。 为 解决 主动 性 误 操作 ,采用 通信 关联 分 析 的 方法 ,让 
IPS 全 方位 识别 网 络 环境 ,减少 操作 报警 。 通 过 将 琐碎 的 防火 墙 日 志 记录 、IDS 数据 、 应 
用 日 志 记录 及 系统 脆弱 性 评估 状况 收集 到 一 起 .合理 推断 出 将 要 发 生 哪 些 情 况 , 并 做 出 
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适当 的 响应 。 

(4) 硬件 加 速 系统 。IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 , 才 能 实现 千 兆 甚至 更 高 级 
网 络 流量 的 深度 数据 包 检测 和 阻 断 功能 。 因 此 ,IPS 必须 基于 特定 的 硬件 平台 ,采用 专用 硬 
件 加 速 来 提高 IPS 的 运行 效率 。 


7.5.3 JIPS 系统 分 类 


入 侵 防 护 系 统 根据 部 署 方式 可 以 分 为 网 络 型 人 侵 防护 系统 (NIPS)、 主 机 型 人 侵 防 护 系 
统 (HIPS) 和 应 用 型 人 侵 防 护 系 统 (AIPS) 三 类 。 

(1) 网 络 型 人 侵 防 护 系 统 (Network based Intrusion Prevention System，NIPS)。 网 络 
型 人 侵 防 护 系 统 架 构 如 图 7. 5 所 示 , 它 采用 在 线 工作 模式 ,在 网 络 中 起 到 一 道 关 卡 的 作用 。 
流 经 网 络 的 所 有 数据 流 都 经 过 NIPS, 起 到 保护 关键 网 段 的 作用 。 一 般 的 NIPS 都 包括 检测 
引擎 和 管理 器 ,其 中 流量 分 析 模 块 具 有 捕获 数据 包 、 删 除 基 于 数据 包 异 常 的 规避 攻击 ,以 及 
执行 访问 控制 等 功能 。 作 为 关键 部 分 的 检测 引擎 ,可 以 采用 异常 检测 模型 和 误 用 检测 模型 ， 
响应 模块 具有 制定 不 同 相应 策略 的 功能 ,流量 调整 模块 主要 根据 协议 实现 数据 包 分 类 和 流 
量 管理 。NIPS 的 这 种 运行 方式 实现 了 实施 防御 ,但 仍然 无 法 检测 出 具有 特定 类 型 的 攻击 ， 
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图 7.5 网 络 型 入 侵 防 护 系 统 架 构图 


(2) 主机 型 入 侵 防 护 系统 (Host based Intrusion Prevention System，HIPS) 。 主 机 型 
入 侵 防 护 系统 架构 如 图 7.6 所 示 , 它 可 以 用 于 预防 攻击 者 对 关键 资源 (如 重要 服务 器 数 
据 库 等 ) 的 入 侵 。HIPS 通常 由 代理 (Agent) 和 数据 管理 器 组 成 ,采用 类 似 IDS 异常 检测 
的 方法 来 检测 入 侵 行为 , 即 允 许 用 户 定 义 规则 ,以 确定 应 用 程序 和 系统 服务 的 哪些 行为 
是 可 以 接受 的 .哪些 是 违法 的 。Agent 驻 留 在 被 保护 的 主机 上 ,用 来 截获 系统 调用 并 检测 
和 阻 断 , 然 后 通过 可 靠 的 通信 信道 与 数据 管理 器 相连 。HIPS 这 种 基于 主机 环境 的 防御 
非常 有 效 ,而 且 也 容易 发 现 新 的 攻击 方式 ,但 配置 比较 困难 ,参数 的 选择 会 直接 关系 到 误 
报 率 的 高 低 。 
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(3) 应 用 型 人 侵 防 护 系 统 (Application Intrusion Prevention System,AIPS) 。 应 用 型 人 
侵 防护 系统 是 网 络 型 人 侵 防 护 系统 的 一 个 特例 , 它 把 基于 主机 的 入 侵 防 护 系统 扩展 成 位 于 
应 用 服务 器 之 前 的 网 络 设备 ,用 来 保护 特定 应 用 服务 (如 Web 服务 器 数据库 等 )。 它 通常 
被 设计 成 一 种 高 性 能 的 设备 ,配置 在 应 用 数据 的 网 络 链 路 上 ,通过 AIPS 安全 策略 的 控制 来 
防止 基于 应 用 协议 漏洞 和 设计 缺陷 的 恶意 攻击 。 





7.6 常用 人 侵 检测 系统 介绍 


1. Snort 入 侵 检 测 系统 

Snort 系统 是 一 个 以 开放 源 代 码 (Open Source) 形 式 发 行 的 网 络 和 信 侵 检测 系统 ,由 
Martin Roesch 编写 ,并 由 遍布 世界 各 地 的 众多 程序 员 共 同 维护 和 升级 。Snort 运行 在 
Libpcap 库 函 数 基 础 之 上 ,并 支持 多 种 系统 软 硬 件 平台 ,如 RedHat Linux、 Debian Linux、 
HP-UX、Solaris(X86 和 Sparc)、X86 Free/Net/OpenBSD、NetBSD 及 MacOS X 等 。 系 统 
代码 遵循 GNU/GPL 协议 。 

与 许多 昂贵 且 庞 大 的 商用 系统 相 比 ,Snort 系统 具有 系统 规模 小 .易于 安装 、 便 于 配置 、 
功能 强大 、 使 用 灵活 等 优点 。Snort 不 仅 是 一 个 网 络 入 侵 检测 系统 ,还 可 以 作为 网 络 数据 包 
分 析 器 (Sniffer) 和 记录 器 (Logger) 来 使 用 。 它 采用 基于 规则 的 工作 方式 ,对 数据 包 内 容 进 
行规 则 匹配 来 检测 多 种 不 同 的 入 侵 行为 和 探测 活动 ,如 缓冲 区 溢出 、 隐 项 端口 扫描 、CGI 攻 
击 、.SMB 探测 等 。Snort 具备 实时 报警 的 功能 ,可 以 发 送 警报 消息 到 系统 日 志文 件 .SMB 消 
息 或 指定 的 警报 文件 中 。 系 统 采用 命令 行 开关 选项 和 可 选 BPF 命令 的 形式 进行 配置 。 系 
统 检 测 引 擎 采用 了 一 种 简单 的 规则 语言 进行 编程 ,用 于 描述 对 每 一 个 数据 包 所 对 应 进行 的 
测试 和 对 应 可 能 的 相应 动作 。 

1) Snort 的 工作 模式 

Snort 作为 一 个 功能 强大 的 网 络 安全 工具 , 它 可 以 被 设置 成 3 种 工作 模式 。 
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(1) 网 络 嗅 探 分 析 仪 (Sniffer) : 进行 网 络 协议 的 实时 分 析 。 当 被 设置 成 这 种 模式 时 ， 
Snort 从 网 络 中 读 取 所 有 的 数据 包 并 进行 解码 (Decode) ,然后 根据 参数 将 相应 的 信息 显示 
给 用 户 。 

(2) IP 包 日 志 记录 器 (Packet Logger): 将 网 络 中 的 数据 包 记 录 到 日 志文 件 中 。 在 这 种 
模式 下 ,Snort 将 数据 包 解 码 后 以 ASCII 码 的 形式 存储 在 磁盘 的 指定 目录 中 。 在 自动 形成 
的 层次 目录 结构 中 ,一 般 用 被 记录 的 IP 地 址 作为 log 日 志 的 子 目 录 名 ,并 在 各 自 的 子 目录 
下 自动 形成 以 通信 端口 为 名 称 的 日 志文 件 。 日 志 模 式 可 以 和 嗅 探 模式 混合 使 用 。 

(3) 网 络 人 侵 检 测 系统 (NIDS)。 网 络 人 侵 检测 系统 模式 是 Snort 的 最 主要 功能 。 
Snort 首先 通过 一 种 简单 、 轻 量 级 的 规则 描述 语言 来 制定 出 一 系列 的 规则 ,然后 将 侦 听 到 的 
数据 包 与 现 有 规则 集 进行 匹配 ,根据 匹配 的 结果 来 采取 相应 的 动作 (Actions)。 所 谓 动作 
(Actions) ,就 是 当 Snort 发 现 从 网 络 中 获取 的 数据 包 与 事先 定义 好 的 规则 相 匹配 时 ,下 一 
步 所 要 进行 的 处 理 方式 。 通 常 可 采取 的 动作 有 alert\log pass \activate .dynamic 5 个 。 

Q@ alert: 用 事先 定义 好 的 方式 产生 报警 ,并 将 数据 包 记 和 日志。 

@ log: 将 数据 包 记 入 日 志 。 

@ pass: 忽略 数据 包 。 

@ activate: 产生 报警 ,并 转向 (激活 ) 相 应 的 dynamic 规则 。 

@ dynamic: 等 待 被 activate 规则 激活 ,激活 后 等 同 于 log 动作 。activate 和 dynamic 
一 般 是 成 对 出 现 的 ,activate/dynamic 规则 使 Snort 的 规则 定义 功能 更 加 充实 。 

2) Snort 的 模块 结构 

Snort 在 逻辑 上 可 以 分 成 多 个 模块 ,这 些 模 块 共同 工作 ,来 检测 特定 的 攻击 ,并 产生 符 
合 特定 要 求 的 输出 格式 。 一 个 基于 Snort 的 IDS 包含 下 面 的 主要 部 件 : 数据 包 解 码 器 ( 传 
感 器 ) 、 预 处 理 器 ,检测 引擎 \ 日 志和 报警 系统 、 输 出 模块 。 

Snort 模块 的 组 成 及 相互 关系 如 图 7.7 所 示 , 任 何 来 自 Internet 的 数据 包 到 了 包 解 码 
器 ,然后 被 送 到 输出 模块 ,在 这 里 或 者 被 丢弃 ,或 者 产生 日 志 或 报警 。 
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7.7 Snort 模块 的 组 成 及 其 相互 关系 


数据 包 解 码 采 用 Libpcap 库 函 数 捕获 数据 链 路 层 的 分 组 并 进行 协议 栈 分 析 (TCP/IP 
协议 ) ,以 便 交 给 检测 引擎 进行 规则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 
传输 层 , 最 后 到 应 用 层 。Snort 的 包 解码 支持 以 太 网 、 令 牌 环 `SLIP( 串 行 线路 接口 协议 ) 及 
PPP 媒体 介质 。 数 据 包 解 码 所 做 的 工作 就 是 为 检测 引擎 准备 数据 。 

预 处 理 器 是 Snort 在 检测 引擎 做 出 一 些 操作 来 发 现 数据 包 是 否 用 来 和 人 侵 之 前 排列 ,或 
者 修改 数据 包 的 组 件 或 插件 。 一 些 预 处 理 器 也 可 以 通过 发 现 数据 包头 部 异常 来 执行 一 些 探 
测 工作 ,并 产生 报警 。 预 处 理 器 的 工作 对 于 任何 IDS 的 检测 引擎 依据 规则 分 析 数 据 都 是 非 
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常 重要 的 。 黑 客 有 很 多 欺骗 IDS 的 技术 。 例 如 ,建立 这 样 一 条 规则 ,用 来 在 HTTP 包 中 发 
现 包含 “scripts/iisadmin” 的 入侵 特征 ,如 果 字 符 匹配 过 于 严格 ,那么 黑客 只 需要 做 一 些 细小 
的 变通 ,就 能 很 轻易 地 欺骗 IDS。 例 如 : 

"scripts/. /iisadmin" 

"scripts/examples/../iisadmin" 

"scripts/. \iisadmin" 

为 了 使 问题 复杂 化 ,攻击 者 也 会 在 字符 中 嵌入 16 位 URI 字 符 或 Unicode 字符 ,这 对 
Web 服务 器 来 说 是 同样 合法 的 ,因为 Web 服务 器 能 够 理解 所 有 这 些 字 符 ,并 将 它们 处 理 
成 为 类 似 于 “scripts/iisadmin” 这 样 的 字符 。 如 果 IDS 严 格 匹配 某 一 字符 串 ,就 可 能 不 会 探 
测 到 这 种 类 型 的 攻击 。 预 处 理 器 可 以 将 字符 重新 排列 ,以 使 IDS 能 够 探测 到 类 似 的 
情形 。 

检测 引擎 是 Snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 后 ,检测 引擎 依据 预先 设 
置 的 规则 检查 数据 包 , 一 旦 发 现 数据 包 中 的 内 容 和 某 条 规则 相 匹 配 , 就 会 有 相应 的 动作 ( 记 
录 日 志 或 报警 等 ) 产 生 ,否则 数据 包 就 会 被 丢弃 。 

依据 在 数据 包 中 所 找到 的 数据 特征 ,一 个 包 可 以 用 来 记录 行为 或 产生 报警 。 日 志 可 以 
存 为 简单 的 文本 文件 .Tcpdump 格式 文件 或 其 他 的 形式 。 

2. OSSEC HIDS 

OSSEC HIDS 是 一 个 基于 主机 的 开源 入 侵 检 测 系 统 , 它 可 以 执行 日 志 分 析 、 完 整 性 检 
查 、Windows 注册 表 监 视 `Rootkit 检测 、 实 时 警告 及 动态 的 适时 响应 。 除 了 IDS 的 功能 之 
外 , 它 通常 还 可 以 被 用 作 一 个 SEM/SIM 解决 方案 。 因 为 其 强大 的 日 志 分 析 引 擎 ,互联 网 供 
应 商 、 大 学 和 数据 中 心 都 乐意 运行 OSSEC HIDS, 以 监视 和 分 析 其 防火 墙 IDS、Web 服务 器 
和 身份 验证 日 志 。 

3. Fragroute/Fragrouter 

Fragroute/Fragrouter 是 一 个 能 够 逃避 网 络 人 侵 检测 的 工具 箱 , 也 是 一 个 自分 段 的 路 
由 程序 , 它 能 够 截获 修改 并 重 写 发 往 一 台 特 定 主机 的 通信 ,可 以 实施 多 种 攻击 ,如 插入、 逃 
避 、 拒 绝 服务 攻击 等 。 它 拥有 一 套 简单 的 规则 集 ,可 以 对 发 往 某 一 台 特 定 主机 的 数据 包 延 迟 
发 送 ,或 者 复制 .丢弃 ,分 段 、 重 全 .打印 \ 记 录 、 源 路 由 跟踪 等 。 严 格 来 讲 , 这 个 工具 是 用 于 协 
助 测试 网 络 入 侵 检 测 系 统 的 ,也 可 以 协助 测试 防火 墙 基 本 的 TCP/IP 堆栈 行为 。 

4. BASE 

BASE 又 称 为 基本 的 分 析 和 安全 引擎 。BASE 是 一 个 基于 PHP 的 分 析 引 擎 , 它 可 以 搜 
索 、 处 理由 各 种 各 样 的 IDS、 防 火 墙 、 网 络 监视 工具 所 生成 的 安全 事件 数据 。 其 特性 包括 一 
个 查询 生成 器 并 查找 接口 ,这 种 接口 能 够 发 现 不 同 匹配 模式 的 警告 ,还 包括 一 个 数据 包 查看 
器 /解码 器 ,基于 时 间 、 签 名 ,协议 、IP 地址 的 统计 图 表 等 。 

5. Sguil 

Sguil 是 一 款 被 称 为 网 络 安全 专家 、 监 视 网 络 活动 的 控制 台 工 具 , 它 可 以 用 于 网 络 安全 
分 析 。 其 主要 部 件 是 一 个 直观 的 GUI 界面 .可 以 从 Snort/barnyard 提供 实时 的 事件 中 进行 
分 析 。 还 可 借助 于 其 他 的 部 件 ,实现 网 络 安全 监视 活动 和 IDS 警告 的 事件 驱动 分 析 。 
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7.7 人 侵 检 测 技术 存在 的 问题 与 发 展 趋势 


7.7.1 入 侵 检测 系统 目前 存在 的 问题 


入 侵 检 测 系统 在 信息 安全 中 有 着 重要 的 作用 ,但 在 国内 的 应 用 还 远 远 没有 普及 。 一方 
面 是 由 于 用 户 的 认 知 程度 较 低 , 另 一 方面 是 由 于 入 侵 检 测 是 一 门 比较 新 的 技术 ,还 存在 一 些 
技术 上 的 困难 ,不 是 所 有 厂商 都 有 研发 人 侵 检 测 产 品 的 实力 。 目 前 的 入 侵 检 测 产 品 大 多 存 
在 以 下 问题 。 

1. 误 报 和 漏 报 的 矛盾 

入 侵 检 测 系统 对 网 络 上 所 有 的 数据 进行 分 析 , 如 果 攻 击 者 对 系统 进行 攻击 尝试 ,而 系统 
相应 服务 开放 ,只 是 漏洞 已 经 修补 ,那么 这 一 次 攻击 是 否 需要 报警 ,这 就 是 一 个 管理 员 需 要 
判断 的 问题 。 因 为 这 也 代表 了 一 种 攻击 的 企图 。 但 大 量 的 报警 事件 会 分 散 管理 员 的 精力 ， 
反而 无 法 对 真正 的 攻击 作出 反应 。 和 误 报 相对 应 的 是 漏 报 情况 , 随 着 攻击 方法 的 不 断 更 新 ， 
人 侵 检 测 系 统 能 否 检 测 出 网 络 中 存在 的 所 有 攻击 也 是 一 个 重要 的 难题 。 

2. 隐私 和 安全 的 矛盾 

入 侵 检测 系统 可 以 收 到 网 络 的 所 有 数据 ,同时 可 以 对 其 进行 分 析 和 记录 ,这 对 网 络 安 全 
极其 重要 。 同 时 ,这 也 对 用 户 的 隐私 构成 一 定 威胁 ,关键 要 看 具体 的 人 侵 检 测 产品 是 否 能 提 
供 相应 功能 以 供 管理 员 进 行 取舍 。 

3. 被 动 分 析 与 主动 发 现 的 矛盾 

人 入 侵 检测 系统 是 采取 被 动 监 听 的 方式 发 现 网 络 问题 ,无 法 主动 发 现 网 络 中 的 安全 隐患 
和 故障 。 如 何 解 决 这 个 问题 也 是 入 侵 检测 产品 面临 的 问题 。 

4. 海量 信息 与 分 析 代 价 的 矛盾 

随 着 网 路 数据 流量 的 不 断 增长 ,入侵 检测 产品 能 否 高 效 处 理 网 路 中 的 数据 也 是 衡量 入 
侵 检 测 产品 的 重要 依据 。 

5. 功能 性 和 可 管理 性 的 矛盾 

随 着 人 侵 检 测 产品 功能 的 增加 ,可 和 否 在 功能 增加 的 同时 ,不 增 大 管理 的 难度 ? 例如 ,人 
侵 检 测 系统 的 所 有 信息 都 存储 在 数据 库 中 ,此 数据 库 能 否 自动 维护 和 备份 而 无 须 管理 员 的 
干预 ,另外 ,入 侵 检测 系统 自身 安全 性 如 何 , 是 否 易于 部 署 , 采 用 哪 种 报警 方式 ,这 些 也 都 是 
需要 考虑 的 因素 。 

6. 单一 的 产品 与 复杂 的 网 络 应 用 的 矛盾 

入 侵 检 测 产品 最 初 的 目的 是 为 了 检测 网 络 的 攻击 ,但 仅仅 检测 网 络 中 的 攻击 远 远 无 法 
满足 目前 复杂 的 网 络 应 用 需求 。 通 常 ,管理 员 难 以 分 清 网 络 问题 是 由 于 攻击 引起 的 还 是 网 
络 本 身 的 故障 。 入 侵 检测 检测 出 的 攻击 事件 又 如 何 处 理 ? 可 和 否 和 目前 网 络 中 的 其 他 安全 产 
品 进行 联合 处 理 ? 





第 7 章 入 侵 检 测 技术 191 





7.7.2 入 侵 检 测 系统 的 发 展 趋势 


1. 分 析 技 术 的 改进 


人 侵 检测 误 报 和 漏 报 的 解决 最 终 还 需要 依靠 分 析 技 术 的 改进 。 目 前 入 侵 检 测 分 析 方 法 
主要 有 统计 分 析 、 模 式 匹配 .数据 重组 .协议 分 析 、 行 为 分 析 等 。 

(1) 统计 分 析 是 统计 网 络 中 相关 事件 发 生 的 次 数 , 达 到 判别 攻击 的 目的 。 

(2) 模式 匹配 利用 对 攻击 的 特征 字符 进行 匹配 完成 对 攻击 的 检测 。 

(3) 数据 重组 是 对 网 络 连接 的 数据 流 进行 重组 再 加 以 分 析 , 而 不 仅仅 分 析 单 个 数据 包 。 

(4) 协议 分 析 技 术 是 在 对 网 络 数 据 流 进行 重组 的 基础 上 ,理解 应 用 协议 ,再 利用 模式 匹 
配 和 统计 分 析 的 技术 来 判明 攻击 。 例 如 , 某 个 基于 HTTP 协议 的 攻击 含有 ABC 特征 ,如 果 
此 数据 分 散在 若干 个 数据 包 中 ,如 一 个 数据 包含 A, 另 外 一 个 数据 包含 B, 还 有 一 个 数据 包 
含 C, 则 单纯 的 模式 匹配 就 无 法 检测 ,只 有 基于 数据 流 重组 才能 完整 检测 。 而 利用 协议 分 
析 , 则 只 在 符合 的 协议 (HTTP) 检 测 到 此 事件 才 会 报警 。 假 设 此 特征 出 现在 电子 邮件 里 , 因 
为 不 符合 协议 ,就 不 会 报警 。 利 用 此 技术 ,可 以 有 效 降低 误 报 和 漏 报 。 

(5) 行为 分 析 技 术 不 仅 简 单 分 析 单 次 攻击 事件 ,还 根据 前 后 发 生 的 事件 确认 是 否 确 有 
攻击 发 生 , 攻 击 行为 是 否 生效 ,是 信 侵 检测 分 析 技 术 的 最 高 境界 。 但 由 于 目前 算法 处 理 和 规 
则 制定 的 难度 很 大 ,还 不 是 非常 成 熟 ,但 却 是 人 侵 检测 技术 发 展 的 趋势 。 目 前 最 好 综合 使 用 
多 种 检测 技术 ,而 不 只 是 依靠 传统 的 统计 分 析 和 模式 匹配 技术 。 另 外 ,规则 库 能 否 及 时 更 新 
也 和 检测 的 准确 程度 相关 。 

2. 内 容 恢复 和 网 络 审计 功能 的 引入 

入 侵 检测 的 最 高 境界 是 行为 分 析 。 但 行为 分 析 目 前 还 不 是 很 成 熟 , 因 此 个 别 优秀 的 入 
侵 检测 产品 引入 了 内 容 恢复 和 网 络 审计 功能 。 

内 容 恢复 即 在 协议 分 析 的 基础 上 ,对 网 络 中 发 生 的 行为 加 以 完整 的 重组 和 记录 ,网 络 中 
发 生 的 任何 行为 都 逃 不 过 它 的 监视 。 网 络 审计 即 对 网 络 中 所 有 的 连接 事件 进行 记录 。 人 入 侵 
检测 的 接 入 方式 决定 入 侵 检 测 系统 中 的 网 络 审计 不 仅 类 似 于 防火 墙 可 以 记录 网 络 进出 信 
息 ,还 可 以 记录 网 络 内 部 连接 状况 ,此 功能 对 内 容 恢 复 /无 法 恢复 的 加 密 连接 尤其 有 用 。 

内 容 恢 复 和 网 络 审 计 让 管理 员 看 到 网 络 的 真正 运行 状况 ,其 实 就 是 调动 管理 员 参 与 行 
为 分 析 过 程 。 此 功能 不 仅 能 使 管理 员 看 到 孤立 的 攻击 事件 的 报警 ,还 可 以 看 到 整个 攻击 过 
程 ,了 解 攻击 确实 发 生 与 否 ,查看 攻击 者 的 操作 过 程 , 了 解 攻击 造成 的 危害 。 不 但 发 现 已 知 
攻击 ,而且 发 现 未 知 攻击 。 不 但 发 现 外 部 攻击 者 的 攻击 ,还 发 现 内 部 用 户 的 恶意 行为 。 毕 竟 
管理 员 是 最 了 解 其 网 络 的 ,管理 员 通 过 此 功能 的 使 用 ,很 好 地 达成 了 行为 分 析 的 目的 。 但 使 
用 此 功能 的 同时 需 注 意 对 用 户 隐 私 的 保护 。 

3. 集成 网 络 分 析 和 管理 功能 

入 侵 检测 不 但 对 网 络 攻 击 是 一 个 检测 。 同 时 ,入 侵 检测 不 仅 可 以 收 到 网 络 中 的 所 有 数 
据 , 而 且 对 网 络 的 故障 分 析 和 健康 管理 也 能 起 到 重大 作用 。 当 管理 员 发 现 某 台 主机 有 问题 
时 ,希望 能 马上 对 其 进行 管理 。 入 侵 检测 不 应 只 采用 被 动 分 析 方 法 ,最 好 能 和 主动 分 析 结 合 
起 来 。 所 以 ,入 侵 检测 产品 集成 网 管 功能 ,扫描 器 (Scanner) 、 嗅 探 器 (Sniffer) 等 功能 是 以 后 
研究 发 展 的 重要 方向 。 
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4. 安全 性 和 易 用 性 的 提高 

入 侵 检 测 是 一 个 安全 产品 ,自身 安全 极为 重要 。 因 此 ,目前 的 人 侵 检 测 产品 大 多 采用 硬 
件 结构 ,黑箱 式 接 和 ,免除 自身 安全 问题 。 同 时 ,对 易 用 性 的 要 求 也 日 益 增强 。 例 如 ,全 中 文 
的 图 形 界面 ,自动 的 数据 库 维 护 , 多 样 的 报表 输出 。 这 些 都 是 优秀 人 侵 产 品 的 特性 和 以 后 继 
续 发 展 细 化 的 趋势 。 

5. 改进 对 大 数据 量 网 络 的 处 理 方法 

随 着 对 大 数据 量 处 理 的 要 求 ,入侵 检测 的 性 能 要 求 也 逐步 提高 ,出 现 了 千 兆 入 侵 检测 等 
产品 。 但 如 果 入 侵 检测 产品 不 仅 具 备 攻击 分 析 , 同 时 具备 内 容 恢复 和 网 络 审计 功能 , 则 其 存 
储 系统 也 很 难 完全 工作 在 千 兆 网 络 环境 下 。 这 种 情况 下 ,网 络 数据 分 流 也 是 一 个 很 好 的 解 
决 方案 ,性 价 比 也 较 好 。 这 也 是 国际 上 较 通 用 的 一 种 做 法 。 

6. 防火 墙 联动 功能 

入 侵 检 测 系统 发 现 攻 击 行为 ,自动 发 送 给 防火 墙 ,防火 墙 加 载 动态 规则 拦截 入 侵 , 称 为 
防火 墙 联动 功能 。 目 前 此 功能 还 没有 到 完全 实用 的 阶段 ,联动 功能 的 使 用 会 导致 误 报 的 问 
题 。 无 限制 地 使 用 联动 ,如 未 经 充分 测试 ,对 防火 墙 的 稳定 性 和 网 络 应 用 会 造成 负面 影响 。 
但 随 着 人 侵 检测 产品 检测 准确 度 的 提高 ,联动 功能 日 益 趋 向 实用 化 。 


习 题 7 
一 、 选 择 题 
1. 下 列 ( ) 功 能 是 由 入 侵 检 测 实现 的 。 
A. 过 滤 非 法 地 址 B. 流量 统计 
C. 屏蔽 网 络 内 部 主机 D. 检测 和 监视 已 成 功 的 安全 突破 


2. 有 一 种 攻击 是 不 断 对 网 络 服务 系统 进行 干预 ,改变 其 正常 的 作业 流程 ,执行 无 关 程 
序 使 系统 响应 减 慢 甚至 瘫痪 。 这 种 攻击 称 为 ( 和 5 


A. 重 放 攻 击 B. 反射 攻击 C. 拒绝 服务 攻击 。 D. 服务 攻击 
3. 人 侵 检 测 系统 的 第 一 步 是 ( ) 。 

A. 信号 分 析 B. 信息 收集 C. 数据 包 过 滤 D. 数据 包 检 查 
4. 以 下 ( ) 不 属于 入 侵 检测 系统 的 功能 。 

A. 监视 网 络 上 的 通信 数据 流 B. 捕获 可 疑 的 网 络 活动 

C. 提供 安全 审计 报告 D. 过 滤 非 法 的 数据 包 


5. 基于 网 络 的 IDS 中 ,检测 数据 通常 来 源 于 ( 5 
A. 操作 系统 日 志 ”B. 网 络 监听 数据 “C. 系统 调用 信息 ”D. 安全 审计 数据 
二 , 填空 题 
1. 根据 信息 的 来 源 将 入 侵 检 测 系 统 分 为 基于 的 IDS、 基 于 的 IDS 和 
的 IDS。 
2. 由 被 入侵 的 众多 主机 构成 .可 被 攻击 者 远程 控制 的 逻辑 网 络 称 为 
3. 人 侵 检测 技术 根据 检测 方法 可 分 为 和 两 大 类 。 
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4. 


和 


入 侵 防护 系统 根据 部 署 方式 可 分 为 三 类 : 网 络 型 人 侵 防 护 系 统 、 





三 、 简 答 


am 上 oo 


.什么 是 入侵 检 测 系统 ? 请 简 述 入 侵 检测 的 工作 原理 。 
. 为 什么 要 进行 人 侵 检测 ? 

.分布 式 人 侵 检测 技术 有 哪些 优势 ? 

. 简 述 误 用 检测 的 技术 实现 方法 。 

. 简要 说 明 入 侵 检 测 系统 和 入 侵 防 护 系 统 的 差别 。 


第 8 章 操作 系统 安全 


操作 系统 作为 用 户 使 用 计算 机 和 资源 的 界面 ,发 挥 着 重要 的 作用 ,因此 ,操作 系统 本 
身 的 安全 就 成 为 信息 安全 当中 的 一 个 重要 研究 课题 。 在 计算 机 的 发 展 史上 ,出现 过 许多 
不 同 的 操作 系统 ,其 中 最 常见 的 有 DOS、Windows、Linux、UNIX/Xenix 和 OS/2 这 5 种 。 
当前 使 用 最 广泛 的 操作 系统 主要 有 基于 NT 技术 的 Windows 操作 系统 和 UNIX 操作 
系统 。 

操作 系统 的 安全 通常 包括 以 下 几 个 方面 。 

(1) 操作 系统 本 身 提供 安全 功能 和 安全 服务 。 

(2) 针对 各 种 常见 的 操作 系统 ,采取 配置 措施 ,使 之 能 正确 地 应 付 各 种 入 侵 。 

(3) 如 何 保证 操作 系统 本 身 所 提供 的 网 络 服务 得 到 安全 配置 。 

对 于 操作 系统 安全 没有 一 个 统一 的 定义 ,如 果 一 个 计算 机 系统 是 安全 的 ,一般 意义 上 是 
指 该 系统 能 够 通过 特定 的 安全 功能 控制 外 部 对 系统 的 访问 。 也 就 是 说 ,只 有 经 过 授权 的 用 
户 或 代表 该 用 户 运行 的 进程 才能 读 、 写 .创建 或 删除 信息 。 

操作 系统 内 的 活动 ,从 某 种 意义 上 来 说 ,都 可 以 看 做 是 主体 针对 计算 机 系统 内 部 所 有 资 
源 的 一 系列 操作 。 操 作 系统 中 任何 存 有 数据 的 东西 都 是 客体 ,能 访问 或 使 用 客体 活动 的 实 
体 称 为 主体 ,一 般 用 户 或 代表 用 户 进行 操作 的 进程 都 是 主体 。 主 体 对 客体 的 访问 策略 是 通 
过 可 信 计 算 基 来 实现 的 。 可 信 计 算 基 是 系统 安全 的 基础 , 正 是 基于 可 信 计 算 基 ,通过 安全 策 
略 的 事实 ,控制 主体 对 客体 的 访问 ,达到 对 客体 的 保护 。 

人 们 如 何 访问 文件 和 其 他 信息 是 安全 策略 描述 的 内 容 。 在 计算 机 系统 中 ,对 于 给 定 的 
主体 和 客体 ,必须 有 一 套 严格 的 规则 来 确定 一 个 给 定 的 主体 是 否 被 授权 获得 对 指定 客体 的 
访问 。 当 安全 策略 被 抽象 成 安全 模型 后 ,人 们 可 以 通过 形式 化 的 方法 证 明 该 模型 是 安全 的 。 
被 证 明了 的 模型 成 为 人 们 设计 系统 安全 部 分 的 坐标 。 

通常 在 操作 系统 的 实现 过 程 中 会 出 现 各 种 问题 ,使 用 安全 模型 设计 出 来 的 操作 系统 会 
产生 一 些 出 乎 设计 者 意图 之 外 的 性 质 , 这 通常 称 为 操作 系统 的 漏洞 。 近 年 来 , 随 着 各 种 系统 
入 侵 和 攻击 技术 的 发 展 , 操 作 系统 漏洞 层出不穷 。 典 型 的 如 缓冲 区 溢出 漏洞 ,目前 几乎 所 有 
的 操作 系统 实现 都 不 同 程度 地 具有 这 个 漏洞 。 因 此 ,一 般 所 说 的 操作 系统 安全 通常 包括 两 
层 意 思 : 一 是 操作 系统 通过 权限 访问 控制 .信息 加 密 保护 、 完 整 性 鉴定 等 一 系列 机 制 实现 的 
安全 ; 二 是 操作 系统 在 使 用 过 程 中 ,通过 一 系列 的 配置 ,保证 操作 系统 尽量 避免 由 于 实现 时 
的 缺陷 或 应 用 环境 因素 产生 的 不 安全 因素 。 只 有 通过 这 两 方面 的 共同 努力 ,才能 最 大 可 能 
地 建立 安全 的 操作 系统 环境 。 

计算 机 操作 系统 为 了 实现 网 络 安全 特性 的 要 求 ,常用 的 安全 技术 主要 有 主机 安全 技术 、 
身份 认证 技术 访问 控制 技术 .密码 技术 防火墙 技术 .安全 审计 技术 和 安全 管理 技术 。 每 种 
操作 系统 一 般 都 是 按照 一 定 的 安全 目标 进行 设计 的 ,因此 都 采用 了 一 些 安 全 策略 ,并 使 用 了 
一 些 常用 的 安全 技术 。 
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8.1 操作 系统 安全 概述 


随 着 计算 机 技术 的 飞速 发 展 和 大 规模 应 用 ,一 方面 使 得 现实 世界 依赖 计算 机 系统 的 程 
度 越 来 越 高 , 另 一 方面 计算 机 系统 的 安全 问题 也 越 来 越 突 出 。AT&T 实验 室 的 S. Bellovin 
博士 曾 对 美国 CERT(Computer Emergency Response Team) 提 供 的 安全 报告 进行 分 析 , 结 
果 表 明 ,一 般 的 计算 机 网 络 安全 问题 是 由 软件 工程 中 的 安全 缺陷 引起 的 ,而 操作 系统 的 安全 
脆弱 性 则 是 问题 的 根源 之 一 。 


8.1.1 操作 系统 安全 准则 


1. 操作 系统 的 安全 需求 

所 谓 安全 的 操作 系统 ,是 指 具备 安全 机 制 并 运用 该 机 制 对 授权 用 户 及 其 进程 的 读 、 写 、 
删除 和 修改 信息 进行 控制 。 具 体 来 说 ,操作 系统 共有 6 个 方面 的 安全 需求 。 

(1) 安全 策略 。 系 统 必须 拥有 并 实施 明确 的 安全 策略 。 对 于 认证 的 主体 和 客体 ,系统 
应 提供 一 个 规则 集 用 于 决定 一 个 特定 的 主体 是 否 可 以 访问 一 个 具体 的 客体 。 通 常 有 自主 安 
全 策略 和 强制 安全 策略 ,自主 安全 策略 是 指 只 有 被 选择 的 用 户 或 用 户 组 才 允 许 存 取 数据 ; 
强制 安全 策略 是 指 可 以 有 效 地 处 理 敏感 信息 存 取 的 规则 。 

(2) 标记 。 为 了 根据 强制 安全 策略 的 规则 对 存储 在 计算 机 中 的 信息 进行 存 取 控制 , 必 
须 给 客体 一 个 能 够 有 效 标 识 其 安全 级 别 的 标记 。 

(3) 鉴别 。 单 个 主体 必须 能 够 被 系统 识别 ,在 系统 中 应 维护 与 身份 识别 认证 有 关 的 信 
息 。 存 储 信息 的 每 一 次 访问 都 应 受到 控制 , 即 只 有 授权 的 用 户 才能 访问 这 些 信息 。 

(4) 责任 。 系 统 中 应 保存 和 保护 审计 信息 ,以 便 跟踪 影响 系统 安全 的 行为 。 一 个 可 信 
的 系统 应 该 能 够 将 与 安全 相关 时 间 的 情况 记录 在 审计 日 志文 件 中 ,有 选择 地 记录 审计 事件 
对 降低 审计 开销 和 开展 有 效 的 安全 分 析 都 是 必要 的 。 系 统 要 保护 审计 数据 不 受 破坏 ,以 确 
保 违 背 安 全 的 事件 在 发 生 后 可 被 探测 到 。 

(5) 保证 。 一 个 计算 机 系统 应 该 能 够 具有 可 以 被 评估 的 各 种 软 硬 件 机 制 ,这 些 机 制 应 
提供 充分 保证 系统 实现 上 述 4 种 与 安全 有 关 的 需求 。 因 此 这 些 机 制 可 以 嵌入 到 操作 系统 
中 ,并 以 安全 的 方式 执行 指定 的 任务 。 

(6) 连续 保护 。 实 现 这 些 基本 需求 的 可 信 机 制 必须 能 不 断 地 提供 保护 ,以 防止 人 侵 和 
未 经 授权 的 算 改 。 如 果 计 算 机 系统 中 实现 安全 策略 的 功能 组 成 易 被 未 经 授权 而 算 改 , 它 就 
不 是 一 个 安全 的 系统 。 也 就 是 说 ,连续 保护 需求 应 该 存在 于 计算 机 系统 的 整个 生命 周期 过 
程 中 。 

2. 可 信 计 算 机 系统 评价 准则 

从 20 世纪 80 年 代 开 始 ,国际 上 很 多 组 织 开 始 研 究 并 发 布 计算 机 系统 的 安全 评价 准则 ， 
其 中 最 具 影 响 和 代表 性 的 是 美国 国防 部 制定 的 评价 准则 。1983 年 美国 国防 部 计算 机 安全 
保密 中 心 发 表 了 《可 信 计 算 机 系统 评估 准则 》(Trusted Computer System Evaluation 
Criteria,TCSEC) ,简称 枪 皮 书 。 
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在 上 述 6 种 安全 需求 中 (1)(2) 属 于 策略 类 ,(3)(4) 属 于 责任 类 ,(5)(6) 属 于 保证 类 。 根 
据 这 些 需求 ,TCSEC 将 评价 准则 划分 为 四 类 ,每 一 类 中 又 细 分 了 不 同 级 别 。 橙 皮 书 为 计算 
机 的 安全 级 别 进行 了 分 类 ,分 为 D.C、B、A 级 ,由 低 到 高 。D 级 暂时 不 分 子 级 ; C 级 分 为 C1 
和 C2 两 个 子 级 ,C2 比 Cl 提供 更 多 的 保护 ; B 级 分 为 B1、B2 和 B3 3 个 子 级 ,由 低 到 高 ; A 
级 暂时 不 分 子 级 。 每 级 包括 它 下 级 的 所 有 特性 。 

在 实际 工作 中 ,主要 通过 测试 系统 与 安全 相关 的 部 分 来 确定 这 些 系统 的 设计 和 实现 是 
否 正确 与 完全 , 一 个 系统 与 安全 相关 的 部 分 通常 称 为 可 信 基 (Trusted Computing Base， 
TCBS: 

(1) D1 级 (最 小 保护 ) 。D1 级 是 计算 机 安全 的 最 低 一 级 。 整 个 计算 机 系统 是 不 可 信任 
的 ,硬件 和 操作 系统 很 容易 被 侵袭 。D1 级 计算 机 系统 标准 规定 对 用 户 没有 验证 ,也 就 是 任 
何人 都 可 以 使 用 该 计算 机 系统 而 不 会 有 任何 障碍 。 系 统 不 要 求 用 户 进 行 登记 (要 求 用 户 提 
供用 户 名 ) 或 口令 保护 (要 求 用 户 提供 唯一 字符 串 来 进行 访问 )。 任 何人 都 可 以 坐 在 计算 机 
前 并 使 用 它 。 

D1 级 的 计算 机 系统 包括 MS-DOS、Windows 3.x、Windows95( 不 在 工作 组 方式 中 )、 
Apple 的 System7.x 等 。 

(2) Cl 级 。C1 级 系统 要 求 硬 件 有 一 定 的 安全 机 制 (如 硬件 带 锁 装置 和 需要 钥匙 才能 
使 用 计算 机 等 ) ,用 户 在 使 用 前 必须 登录 到 系统 。C1 级 系统 还 要 求 具有 完全 访问 控制 的 能 
力 , 人 允许 系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 。C1 级 防护 不 足 之 处 在 于 用 户 直 
接 访 问 操作 系统 的 根 或 底层 。C1 级 系统 不 能 控制 进入 系统 的 用 户 的 访问 级 别 , 所 以 用 户 可 
以 将 系统 的 数据 任意 移 走 。 

常见 的 Cl 级 兼容 计算 机 系统 有 UNIX 系统 、XENIX、Novell3. x( 或 更 高 版 本 )、Windows 
NT 等 。 

(3) C2 级 。C2 级 在 C1 级 的 某 些 不 足 之 处 加 强 了 几 个 特性 。 一 方面 ,C2 级 引进 了 受 
控 访 问 环境 (用 户 权限 级 别 ) 的 增强 特性 。 这 一 特性 不 仅 以 用 户 权 限 为 基础 ,还 进一步 限制 
了 用 户 执行 某 些 系统 指令 。 授 权 分 级 使 系统 管理 员 能 够 为 用 户 分 组 ,授予 他 们 访问 某 些 程 
序 的 权限 或 访问 分 级 目录 。 另 一 方面 ,用 户 权限 以 个 人 为 单位 授权 用 户 对 某 一 程序 所 在 目 
录 的 访问 。 如 果 其 他 程序 和 数据 也 在 同一 目录 下 ,那么 用 户 也 将 自动 获得 访问 这 些 信息 的 
权限 。C2 级 系统 还 采用 了 系统 审计 。 审 计 特 性 跟踪 所 有 的 “安全 事件 ”, 如 登录 (成 功 和 失 
败 的 ) ,以 及 系统 管理 员 的 工作 ,如 改变 用 户 访问 和 口令 。 

常见 的 C2 级 操作 系统 有 UNIX 系统 、XENIX、Novell3. x (或 更 高 版 本 )、Windows 
NT 等 。 

(4) Bl 级 。Bl 级 系统 支持 多 级 安全 ,多 级 是 指 这 一 安全 保护 安装 在 不 同 级 别 的 系统 
中 (网 络 .应 用 程序 .工作 站 等 ) . 它 对 敏感 信息 提供 更 高 级 的 保护 。 例 如 ,安全 级 别 可 以 分 为 
解密 、 保 密 和 绝密 级 别 。 

(5) B2 级 。B2 级 别称 为 结构 化 的 保护 (Structured Protection) 。B2 级 安全 要 求 计 算 
机 系统 中 对 所 有 对 象 加 标签 ,而 且 给 设备 (如 工作 站 ,终端 和 磁盘 驱动 器 ) 分 配 安全 级 别 。 例 
如 ,用 户 可 以 访问 一 台 工 作 站 ,但 可 能 不 允许 访问 装 有 人 员工 资 资料 的 磁盘 子 系统 。 

(6) B3 级 。B3 级 要 求 用 户 工 作 站 或 终端 通过 可 信任 途径 连接 网 络 系统 ,这 一 级 必须 
采用 硬件 来 保护 安全 系统 的 存储 区 。 
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(7) A 级 。A 级 是 橙 皮 书 中 的 最 高 安全 级 别 , 这 一 级 有 时 也 称 为 验证 设计 (Verified 
Design) 。 与 前 面 提 到 的 各 级 级 别 一 样 ,这 一 级 包括 了 它 下 面 各 级 的 所 有 特性 。A 级 还 附加 
一 个 安全 系统 受 监视 的 设计 要 求 , 合 格 的 安全 个 体 必须 分 析 并 通过 这 一 设计 。 另 外 ,必须 采 
用 严格 的 形式 化 方法 来 证 明 该 系统 的 安全 性 。 而 且 在 A 级 ,所 有 构成 系统 的 部 件 的 来 源 必 
须 具 有 安全 保证 ,这 些 安全 措施 还 必须 被 担保 在 销售 过 程 中 这 些 部 件 不 受 损 害 。 例 如 ,在 A 
级 设置 中 ,一 个 磁带 驱动 器 从 生产 厂房 直至 计算 机 房 都 会 被 严密 地 跟踪 。 


8.1.2 操作 系统 安全 防护 的 一 般 方法 


1. 威胁 系统 资源 安全 的 因素 

威胁 系统 资源 安全 的 因素 除 设备 部 件 故障 外 ,还 有 以 下 几 种 情况 。 

(1) 用 户 的 误 操 作 或 不 合理 地 使 用 了 系统 提供 的 命令 ,造成 对 资源 不 期 望 的 处 理 。 例 
如 ,无 意 中 删 除了 不 想 删除 的 文件 ,或 者 无 意 中 停止 了 系统 的 正常 处 理 程序 等 。 

(2) 恶意 用 户 设 法 获取 非 授 权 的 资源 访问 权 。 例 如 ,非法 获取 其 他 用 户 的 信息 ,这 些 信 
息 可 以 是 系统 运行 时 内 存 中 的 信息 ,也 可 以 是 存储 在 磁盘 上 的 信息 (如 文件 等 )。 

(3) 恶意 破坏 系统 资源 或 系统 的 正常 运行 ,如 计算 机 病毒 。 

(4) 破坏 资源 的 完整 性 与 保密 性 ,对 用 户 的 信息 进行 非法 修改 、 复 制 或 破坏 。 

(5) 多 用 户 操作 系统 还 需要 防止 各 用 户 程 序 执行 过 程 中 相互 间 的 不 良 影响 ,解决 用 户 
之 间 的 相互 干扰 。 计 算 机 操作 系统 的 安全 措施 主要 是 隔离 控制 和 访问 控制 。 

2. 操作 系统 隔离 控制 安全 措施 

隔离 控制 的 方法 主要 有 以 下 4 种。 

(1) 设备 隔离 。 在 物理 设备 或 部 件 一 级 进行 隔离 ,使 不 同 的 用 户 程 序 使 用 不 同 的 物理 
对 象 。 例 如 ,不 同安 全 级 别 的 用 户 分 配 不 同 的 打印 机 ,对 特殊 用 户 的 高 密级 运算 ,甚至 可 以 
在 CPU 一 级 进行 隔离 ,使 用 专用 的 CPU 进行 运算 。 

(2) 时 间隔 离 。 对 不 同安 全 要 求 的 用 户 进 程 分 配 不 同 的 运行 时 间 段 。 用 户 在 运算 高 密 
级 信息 时 ,允许 独占 计算 机 进行 运算 。 

(3) 逻辑 隔离 。 多 个 用 户 进 程 可 以 同时 运行 ,但 相互 之 间 感 觉 不 到 其 他 用 户 进 程 的 存 
在 ,这 是 因为 操作 系统 限定 各 进程 的 运行 区 域 , 不 允许 进程 访问 其 他 未 被 允许 的 区 域 。 

(4) 加 蜜 隔离。 进程 把 自己 的 数据 和 计算 活动 隐藏 起 来 ,使 它们 对 于 其 他 进程 是 不 可 
见 的 ,对 用 户 的 口令 信息 或 文件 数据 以 密 文 形式 存储 ,使 其 他 用 户 无 法 访问 ,这 就 是 加 密 隔 
离 控制 措施 。 

这 几 种 隔离 措施 实现 的 复杂 性 是 逐步 递增 的 ,而 他 们 的 安全 性 则 是 逐步 递减 的 ,前 两 种 
方法 的 安全 性 比较 高 ,而 后 两 种 隔离 方法 主要 依赖 系统 的 功能 实现 。 

3. 操作 系统 访问 控制 安全 措施 

在 操作 系统 中 ,为 提高 安全 级 别 ,通常 采用 一 些 比较 好 的 访问 控制 措施 来 提高 系统 的 整 
体 安全 性 ,尤其 是 针对 多 用 户 、 多 任务 的 网 络 操作 系统 。 除 了 自主 访问 控制 (Discretionary 
Access Control, DAC) ,强制 访问 控制 (Mandatory Access Control, MAC) 和 基于 角色 的 访 
问 控制 技术 (Role-Based Access Control, RBAC) 外 ,常用 的 访问 控制 措施 还 有 域 和 类 型 执 
行 的 访问 控制 (Domain and Type Enforcement, DTE)。 
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8.1.3 操作 系统 资源 防护 技术 


对 操作 系统 的 安全 保护 措施 ,其 主要 目标 是 保护 操作 系统 中 的 各 种 资源 ,具体 地 讲 , 就 
是 针对 操作 系统 的 登录 控制 .内 存 管 理 和 文件 系统 这 3 个 主要 方式 实施 安全 保护 。 

1. 系统 登录 和 用 户 管理 的 安全 

系统 登录 过 程 是 整个 操作 系统 安全 的 第 一 步 ,这 一 步 的 操作 主要 是 要 求 系统 有 比较 安 
全 的 登录 控制 机 制 . 严 格 的 口令 管理 机 制 和 良好 的 用 户 管理 机 制 。 

(1) 安全 的 登录 控制 机 制 。 首 先 应 该 避免 用 户 绕 过 登录 控制 机 制 直接 进入 系统 ,如 
Linux 操作 系统 中 的 单 用 户 登录 模式 ,以 及 Windows 2000 操作 系统 默认 安装 时 通过 全 拼 输 
人 法 就 可 以 进入 系统 。 为 提高 系统 登录 时 的 常用 的 安全 措施 有 : 限制 用 户 只 能 在 某 个 时 间 
段 内 才能 登录 到 系统 中 ; 减少 系统 登录 时 的 提示 信息 ; 限制 用 户 登 录 次 数 ,如 限制 连续 多 
次 (如 3 次) 登录 失败 ,终端 与 系统 的 连接 应 自动 断 开 等 措施 。 

(2) 严格 的 口令 管理 机 制 。 历 史上 的 系统 入 侵 事件 80% 都 与 口令 破解 攻击 行为 有 关 ， 
也 就 是 说 ,很 多 时 候 不 是 系统 的 安全 性 不 高 ,而 是 系统 的 口令 控制 和 管理 给 系统 入 侵 者 留 下 
了 可 乘 之 机 。 为 了 提高 口令 的 安全 性 ,还 应 该 养 成 较 好 的 口令 管理 和 使 用 习惯 。 首 先 必须 
保证 系统 中 的 口令 具有 比较 高 的 安全 性 ,口令 应 该 在 6 个 字符 以 上 ,为 字母 和 数字 及 其 他 字 
符 的 随机 组 合 , 口 令 应 该 避免 选取 字典 中 的 单词 ,还 应 该 与 用 户 信 息 无 关 等 。 其 次 ,口令 应 
该 定期 更 换 , 而 且 在 不 同 的 场合 应 该 使 用 不 同 的 口令 ; 最 后 注意 保存 密码 ,密码 应 该 靠 大 脑 
记忆 ,不 要 将 口令 记录 在 本 子 上 。 

(3) 良好 的 用 户 管理 机 制 。 用 户 管理 和 控制 的 安全 与 否 是 整个 操作 系统 能 否 安全 的 另 
一 个 重要 方面 。 首 先 应 当 注意 系统 中 的 Guest 用 户 和 默认 的 网 络 匿 名 登录 用 户 ,这 些 用 户 
是 操作 系统 被 人 侵 者 选择 攻击 的 一 个 重要 跳板 ; 其 次 要 管理 好 系统 中 的 工作 组 ,避免 将 一 
般 用 户 与 管理 员 用 户 放 在 同一 个 组 中 ; 最 后 还 要 控制 好 用 户 的 系统 操作 权限 ,禁止 普通 用 
户 随 意 在 系统 中 安装 软件 ,尤其 是 盗版 软件 。 作 为 系统 的 管理 员 , 应 当 定 期 查看 系统 的 用 户 
日 志和 审计 信息 ,以 便 尽 快 发 现 和 堵 住 系统 的 安全 隐患 。 

2. 内 存 管理 的 安全 

常用 的 内 存 保护 技术 有 单 用户 内 存 保 护 技术 和 多 道 程序 的 保护 技术 、 内 存 标 记 保护 法 
和 分 段 与 分 页 保护 技术 。 

(1) 单 用户 内 存 保护 技术 。 在 单 用 户 操作 系统 中 ,系统 程序 和 用 户 程序 同时 运行 在 一 
个 内 存 空 间 中 , 若 无 防护 措施 ,用 户 程序 中 的 错误 有 可 能 破坏 系统 程序 的 运行 。 可 以 利用 地 
址 界限 寄存 器 在 内 存 中 规定 一 个 区 域 边界 ,用 户 程序 运行 时 不 能 跨越 这 个 地 址 。 

(2) 多 道 程序 的 保护 技术 。 对 于 单 用 户 操作 系统 ,使 用 一 个 地 址 界限 寄存 就 可 以 保证 
系统 区 与 用 户 程序 的 安全 。 但 对 多 用 户 操作 系统 ,需要 再 增加 一 个 寄存 器 保护 用 户 程序 的 
上 边界 地 址 。 程 序 执行 时 硬件 系统 将 自动 检查 程序 代码 所 访问 的 地 址 是 否 在 基 址 与 上 边界 
之 间 , 若 不 在 则 报错 。 用 这 种 办 法 可 以 把 程序 完整 地 封闭 在 上 下 两 个 边界 地 址 空间 中 ,可 以 
有 效 防止 一 个 用 户 程序 访问 甚至 修改 另 一 个 用 户 的 内 存 。 

(3) 内 存 标记 保护 法 。 为 了 能 对 每 个 存储 单元 按 其 内 容 要 求 进行 保护 ,如 果 有 的 单元 
只 读 . 读 / 写 或 仅 执行 等 不 同 的 要 求 , 可 以 在 每 个 内 存单 元 中 专用 几 个 位 来 标记 该 字 单 元 的 
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属性 。 除 了 标记 读 、 写 和 执行 等 属性 外 ,还 可 以 标记 该 单元 的 数据 类 型 ,如 数据 、 字 符 、 地 址 
指针 或 未 定义 等 。 每 次 指令 访问 这 些 单 元 时 都 要 测试 这 些 位 , 当 访问 操作 与 这 些 位 表示 的 
属性 不 一 致 时 ,允许 指令 执行 ,否则 就 禁止 或 给 出 警告 信息 。 

(4) 分 段 与 分 页 保护 技术 。 在 一 个 安全 要 求 比较 高 的 系统 中 ,通常 将 分 页 与 分 段 技 术 
结合 起 来 使 用 ,由 程序 员 按 逻辑 把 程序 划分 为 段 , 再 由 操作 系统 把 段 划分 为 页 。 操 作 系统 同 
时 管理 段 表 与 页 表 ,完成 地 址 映射 任务 和 页 面 的 调 进 和 调 出 ,并 使 同一 段 内 的 各 页 具有 相同 
的 安全 访问 控制 属性 。 系 统 还 可 以 为 每 个 物理 页 分 配 一 个 密码 ,只 允许 拥有 相同 密码 的 进 
程 访问 该 页 ,该 密码 由 操作 系统 装 入 进程 的 状态 字 中 , 当 进 程 访问 某 个 页 面 时 ,由 硬件 对 进 
程 的 密码 进行 检验 ,只 有 密码 相同 且 进 程 的 访问 权限 与 页 面 的 读 写 访问 属性 相同 时 方 可 执 
行 访问 。 

3. 文件 系统 的 安全 

(1) 分 组 保护 。 在 分 组 保护 方案 中 ,可 以 根据 某 种 共同 性 把 用 户 划分 在 一 个 组 中 ,如 需 
要 共享 是 一 个 常见 的 分 组 理由 。 系 统 的 用 户 一 般 可 以 分 为 三 类 : 单个 用 户 、 用 户 组 及 所 有 
人 。 分 组 时 要 求 每 个 用 户 只 能 分 在 一 个 组 中 ,同一 个 组 中 的 用 户 对 文件 有 相同 的 需求 ,具有 
相同 的 访问 权限 。 

(2) 许可 权 保 护 。 许 可 权 保护 是 指 将 用 户 许 可 权 与 单个 文件 挂钩 ,主要 有 两 种 方法 : 
一 是 文件 通行 字 法 ,二 是 临时 许可 证 法 。 文 件 通行 字 法 是 为 文件 设置 一 个 通行 字 , 当 用 户 访 
问 这 个 文件 时 ,必须 提供 正确 的 通行 字 , 通 过 通行 字 来 控制 对 文件 的 各 种 访问 ; 临时 许可 证 
法 是 利用 SUID/SGID 机 制 来 保护 其 专用 信息 和 设备 不 受 非 法 访问 ,如 普通 用 户 为 了 执行 
某 些 应 用 程序 ,需要 修改 系统 的 通行 字 文件 ,系统 管理 员 可 以 用 SUID 机 制 建立 改变 通行 字 
的 保护 程序 , 当 普 通用 户 执行 它 时 ,该 保护 程序 可 以 按照 系统 管理 员 规定 的 方式 修改 通行 字 

(3) 指定 保护 方式 。 指 定 保 护 方式 是 指 允 许 用 户 为 任何 文件 建立 一 张 访问 控制 列表 
(Access Control Lists,ACL) ,指定 谁 有 权 访问 该 文件 ,每 个 用 户 有 什么 样 的 访问 权 。 利 用 
ACL 也 可 以 限定 用 户 访问 制定 的 设备 ,或 者 限制 哪些 用 户 可 以 通过 电话 线 进 入 系统 ,甚至 
可 以 限定 用 户 对 资源 的 网 络 访问 。 

除 上 述 3 个 方面 的 安全 保护 措施 之 外 ,操作 系统 的 其 他 资源 (如 各 种 外 设 、 网 络 系统 等 ) 
也 需要 实施 安全 保护 措施 ,对 这 些 资源 的 安全 保护 最 终 也 可 归结 为 操作 系统 资源 安全 的 保 
护 机 制 。 例 如 ,外 设 安全 保护 可 以 归结 为 内 存 访问 机 制 和 文件 控制 机 制 的 安全 防护 ,网 络 系 
统 的 安全 保护 事实 上 主要 是 操作 系统 的 登录 机 制 、 内 存 管理 和 文件 系统 的 综合 安全 保护 。 


8.2 UNIX/Linux 系统 安全 


8.2.1 Linux 系统 概述 


Linux 是 一 种 适用 于 PC 的 计算 机 操作 系统 , 它 适 合 于 多 种 平台 ,是 目前 唯一 免费 的 非 
商品 化 .开源 的 操作 系统 。 
Linux 诞生 于 1991 年 底 , 是 一 个 芬兰 大 学 生 开 发 出 来 的 。 由 于 具有 结构 清晰 、 功 能 强 
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大 等 特点 , 它 很 快 成 为 许多 院 校 学 生 和 科研 机 构 的 研究 人 员 学 习 和 研究 的 对 象 。 在 他 们 的 
热心 努力 下 ,Linux 逐渐 成 为 一 个 稳定 可 靠 、 功 能 完善 的 操作 系统 。 而 一 些 软 件 公 司 也 不 失 
时 机 地 推出 以 Linux 为 核心 的 操作 系统 ,大 大 推动 了 Linux 的 商品 化 ,使 Linux 的 使 用 日 益 
广泛 ,成 为 当今 最 流行 的 一 种 操作 系统 。 

Linux 是 由 UNIX 发 展 而 来 的 , 它 不 仅 继承 了 UNIX 操作 系统 的 特征 ,而 且 在 许多 方面 
还 超过 了 UNIX 操作 系统 ,另外 它 还 具有 许多 UNIX 所 不 具有 的 优点 和 特性 。 例 如 , 它 的 
源 代码 是 开放 的 ,可 运行 于 多 种 硬件 平台 ,支持 多 达 32 种 文件 系统 ,支持 大 量 的 外 部 设备 
等 。 它 包含 人 们 所 期 待 的 操作 系统 所 能 拥有 的 优良 特性 ,包括 真正 的 多 任务 、 虚 拟 内 存 、 目 
前 最 快 的 TCP/IP 驱动 程序 、 共 享 库 和 理想 的 多 用 户 支 持 ; 它 还 符合 X/Open 标准 ,具有 完 
全 自由 的 X-Window 实现 方式 ; Linux 同 UNIX 一 样 ,具有 最 先进 的 网 络 特性 , 且 支 持 所 有 
通用 的 Internet 协议 , 既 可 作为 客户 机 也 可 作为 服务 器 。 

Linux 实际 上 是 免费 的 , 它 以 GPL(General Public License, 通 用 公共 许可 证 ) 的 方式 发 
行 这 份 软件 ,可 以 让 任何 人 以 任何 形式 复制 与 传播 Linux, 而 且 用 户 可 在 网 络 上 下 载 Linux 
的 源 代码 ,随心所欲 地 复制 与 更 改 源 程序 。 由 于 可 以 免费 取得 源 代码 ,投入 研究 和 开发 的 人 
也 越 来 越 多 ,功能 越 来 越 完 善 。 到 目前 为 止 , 已 经 是 可 以 同 Windows 或 其 他 操作 系统 抗衡 
的 一 个 系统 。 

一 个 操作 系统 除了 核心 程序 外 ,还 需要 其 他 的 系统 程序 和 应 用 程序 才 有 实用 性 ,它们 是 
由 美国 免费 软件 基金 会 (Free Software Foundation) 、 某 机 构 或 个 人 开发 的 ,而 且 这 些 软件 
大 多 都 是 免费 的 。 由 于 自行 下 载 和 安装 这 些 程序 不 是 很 方便 ,于 是 有 些 公司 和 团体 就 去 收 
集 整 理 Linux 上 的 程序 ,把 它们 整合 起 来 构成 一 个 完整 的 操作 系统 ,就 是 所 谓 的 配送 套件 
(Distributionkit) 。 其 中 比较 有 名 的 就 是 Red Hat、Slackware、OpenLinux 等 。 

Linux 不 像 一 般 的 UNIX 要 负担 庞大 的 版 权 费 用 ,也 不 需要 在 专用 的 昂贵 硬件 上 才 
可 以 使 用 , 它 可 以 在 一 般 的 PC 上 运行 ,代码 执行 效率 高 ,接收 了 过 去 几 十 年 来 在 UNIX 
上 积累 的 用 户 , 加 上 GPL 的 版 权 允 许 大 家 自由 传播 Linux 的 源 代码 ,用 户 可 以 针对 自己 
的 需求 修改 程序 ,使 得 Linux 在 目前 已 经 成 为 非常 受 人 欢迎 的 、 多 任务 、 免 费 、 稳 定 的 操作 
系统 。 

Linux 就 严格 意义 上 来 说 ,虽然 是 指 系统 核心 ,但 也 广泛 地 用 来 指明 利用 Linux 核心 建 
立 的 整个 操作 系统 。Linux 以 版 本 号 来 表示 它 是 测试 版 还 是 正式 版 。 若 版 本 n. x.y 中 x 是 
偶数 , 则 是 稳定 的 版 本 ,y 值 的 增加 只 是 表示 错误 修正 次 数 。 


8.2.2 UNIX/Linux 系统 安全 概述 


UNIX/Linux 是 一 种 多 任务 多 用 户 的 操作 系统 。 这 类 操作 系统 的 基本 功能 是 防止 使 用 
同一 台 计 算 机 的 不 同 用 户 之 间 相 互 干扰 ,所 以 UNIX/Linux 的 设计 宗旨 是 要 考虑 安全 的 。 
当然 ,系统 中 仍然 存在 很 多 安全 问题 ,其 新 功能 的 不 断 纳入 及 安全 机 制 的 错误 配置 或 不 经 心 
使 用 都 可 能 带 来 很 多 安全 问题 。 

UNIX/Linux 系统 结构 由 用 户 、 内 核 和 硬件 3 个 层次 组 成 ,如 图 8. 1 所 示 。 

UNIX/Linux 操作 系统 借助 以 下 4 种 方式 提供 功能 。 

(1) 中 断 。 内 核 处 理 外 围 设备 的 中 断 , 设 备 通过 中 断 机 制 通知 内 核 1/O 完成 状态 变化 ， 
内 核 将 中 断 视 为 全 局 事件 ,与 任何 特定 进程 都 不 相关 。 
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图 8.1 UNIX/Linux 系统 结构 


(2) 系统 调用 。 用 户 进 程 通过 UNIX/Linux API 的 内 核 部 分 的 系统 调用 接口 , 显 式 地 
从 内 核 获 得 服务 ,内 核 以 调用 进程 的 身份 执行 这 些 请 求 。 

(3) 异常 。 进 程 的 某 些 不 正常 操作 ,诸如 除数 为 0 或 用 户 堆栈 溢出 将 引起 硬件 异常 。 
异常 需要 内 核 干预 ,内 核 为 进程 处 理 这 些 异常 。 

(4) 像 swapper 和 pagedaemon 之 类 的 一 组 特殊 的 系统 进程 执行 系统 级 的 任务 ,如 控制 
活动 进程 的 数目 或 维护 空闲 内 存 池 。 

系统 具有 两 个 执行 态 : 用 户 态 和 核心 态 。 和 运行 内 核 中 程序 的 进程 处 于 核心 态 ,运行 内 
核 外 的 进程 处 于 用 户 态 。 系 统 保证 用 户 态 下 的 进程 只 能 访问 它 自己 的 指令 和 数据 ,而 不 能 
访问 内 核 和 其 他 进程 的 指令 和 数据 ,并 且 保证 特权 指令 只 能 在 核心 态 执行 。 像 中 断 .异常 等 
在 用 户 态 下 不 能 使 用 。 用 户 可 以 通过 系统 调用 进入 核心 态 , 运 行 完 系统 调用 之 后 又 返回 用 
户 态 。 系 统 调用 是 用 户 程序 进入 系统 内 核 的 唯一 入 口 。 因 此 用 户 对 系统 资源 中 信息 的 访问 
都 要 经 过 系统 调用 才能 完成 。 一 旦 用 户 通 过 系统 调用 进入 内 核 , 便 完 全 与 用 户 隔离 ,从 而 使 
内 核 中 的 程序 可 对 用 户 的 访问 控制 请 求 进行 不 受用 户 干扰 的 访问 控制 。 在 安全 结构 上 ， 
Linux 与 UNIX 基本 相似 。 


8.2.3 UNIX/Linux 的 安全 机 制 


安全 的 计算 机 操作 系统 必须 有 一 个 明确 的 、 定 义 良好 的 安全 机 制 。 系 统 中 只 有 授权 的 
用 户 或 代表 用 户 的 工作 进程 才 可 以 读 、 写 、 删 除 或 建立 相应 的 信息 资源 , 即 系统 实现 了 完备 
的 信息 访问 控制 机 制 。 对 系统 安全 有 关 的 事件 要 进行 审计 、 记 录 , 并 能 找到 当事人 。 安 全 机 
制 必须 是 不 可 算 改 和 非 授 权 改 变 等 。 在 UNIX/Linux 基本 系统 中 ,提供 的 安全 机 制 包括 用 
户 账号 标识 .口令 安全 文件 系统 安全 文件 加 密 和 日 志 审 计 机 制 等 。 

1. 用 户 账 号 标识 

UNLX Linux 的 各 种 功能 都 被 限制 在 一 个 账号 Root( 根 用 户 账号 ) 中 ,其 功能 和 Windows 
NT 中 的 管理 员 Administrator 或 Netware 的 超级 用 户 Supervisor 功能 类 似 。 作 为 根 用 户 
账号 ,可 以 控制 一 切 ,包括 用 户 账号 .文件 和 目录 ,以 及 网 络 资源 等 。 根 用 户 账 号 允许 管理 所 
有 资源 的 各 类 变化 情况 。 例 如 ,每 个 账号 都 是 具有 不 同 用 户 名 、 不 同 口令 和 不 同 访问 权限 的 
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单独 实体 ,这 样 就 允许 根 用 户 账号 有 权 授 予 或 拒绝 任何 用 户 、 用 户 组 和 所 有 用 户 的 访问 。 用 
户 可 以 建立 自己 的 文件 ,安装 自己 的 程序 等 。 为 了 确保 不 会 出 现 冲 突 ,系统 会 分 配 好 用 户 目 
录 , 每 个 用 户 都 得 到 一 个 目录 和 一 部 分 硬盘 空间 ,这 块 空间 与 系统 区 域 和 其 他 用 户 所 占用 的 
区 域 分 隔 开 来 。 这 样 就 可 以 防止 一 般 用 户 的 活动 影响 其 他 用 户 的 文件 系统 。 进 而 系统 还 为 
每 个 用 户 提供 一 定 程度 的 保密 ,作为 根 用 户 账号 ,可 以 控制 哪些 用 户 能 够 进行 访问 ,以 及 他 
们 可 以 把 文件 放 到 哪里 ,控制 用 户 能 够 访问 哪些 资源 ,以 及 用 户 如 何 访问 等 。 

用 户 登 录 到 系统 中 时 ,需要 输入 用 户 名 标识 其 身份 。 内 部 实现 时 , 当 该 用 户 的 账号 创建 
时 ,系统 管理 员 便 为 其 分 配 唯一 一 个 标识 号 。 

系统 中 的 /etc/passwd 文件 含有 全 部 系统 需要 知道 的 关于 每 个 用 户 的 信息 (加 密 后 的 
口令 存 于 /etc/shadow 文件 中 )。/etc/passwd 文件 中 包含 有 用 户 的 登录 名 、 经 过 加 密 的 口 
令 ,用户 号 .用户 组 号 ,用户 注释 .用 户主 目录 和 用 户 的 shell 程序 ,其 中 用 户 号 (UID) 和 用 户 
组 号 (GID) 用 于 UNIX 系统 唯一 地 标识 用 户 和 同 组 用 户 的 访问 权限 。 系 统 中 ,超级 用 户 的 
UID 为 0, 每 个 用 户 属于 一 个 或 多 个 用 户 组 ,每 个 组 由 GID 唯一 标识 。 

2. 口令 安全 

用 户 登 录 系 统 时 ,需要 输入 口令 来 鉴别 用 户 身 份 。 当 用 户 输入 口令 时 ,UNIX 系统 使 用 
改进 的 DES 算法 对 其 进行 加 密 , 并 与 存储 在 /etc/passwd 或 NIS 数据 库 中 的 加 密 用 户口 令 
进行 比较 , 若 二 者 匹配 , 则 说 明 该 用 户 的 登录 合法 ,否则 拒绝 登录 。 

在 Linux 中 ,口令 文件 保存 在 /etc/passwd 中 ,早期 的 这 个 文件 直接 存放 加 密 后 的 密 
码 ,前 两 位 是 “ 盐 ?” 值 ,是 一 个 随机 数 ,后 面 跟 的 是 加 密 后 的 密码 。 

下 面 来 分 析 一 下 /etc/passwd 文件 , 它 的 每 个 条 目 有 7 个 域 ,分 别 是 : 

名 称 : 加 密 的 密码 : 用 户 id: 组 id: 用 户 信息 : 主 目录 : shell 

例如 : 

ynguo: AAAAAA: 509: 510: : /home/ynguo: /bin/bash 


在 利用 了 shadow 文件 的 情况 下 ,密码 用 一 个 x 表示 ,普通 用 户 看 不 到 任何 密码 信息 。 
如 果 仔 细 看 看 这 个 文件 ,会 发 现 一 些 奇怪 的 用 户 名 ,它们 是 系统 的 默认 账号 ,默认 账号 是 攻 
击 者 入 侵 的 常用 入 口 ,因此 一 定 要 熟悉 默认 账号 ,特别 要 注意 密码 域 是 否 为 空 。 下 面 简单 介 
绍 一 下 这 些 默 认 账 号 。 

(1) adm: 拥有 账号 文件 ,起 始 目录 /var/adm 通常 包括 日 志文 件 。 

(2) bin: 拥有 用 户 命令 的 可 执行 文件 。 

(3) daemon: 用 来 执行 系统 守护 进程 。 

(4) games: 用 来 玩 游 戏 。 

(5) halt: 用 来 执行 halt 命令 。 

(6) lp: 拥有 打印 机 后 台 打印 文件 。 

(7) mail: 拥有 与 邮件 相关 的 进程 和 文件 。 

(8) news: 拥有 与 usenet 相关 的 进程 和 文件 。 

(9) nobody: 被 NFS( 网 络 文件 系统 ) 使 用 。 

(10) shutdown: 执行 shutdown 命令 。 

(11) sync: 执行 sync 命令 。 

(12) uucp: 拥有 uucp 工具 和 文件 。 
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传统 上 ,/etc/passwd 文件 在 很 大 范围 内 是 可 读 的 ,因为 许多 应 用 程序 需要 用 它 来 把 
UID 转换 为 用 户 名 。 例 如 ,如 果 不 能 访问 /etc/passwd, 那 么 ls -1 命令 将 显示 UID 而 不 是 用 
户 名 。 但 是 使 用 口令 猜测 程序 ,具有 加 密 口 令 的 可 读 /etc/passwd 文件 有 巨大 的 安全 危险 ， 
容易 受到 口令 猜测 程序 的 攻击 。 所 以 出 现 了 影子 文件 /etc /shadow。 

影子 口令 系统 把 口令 文件 分 成 两 部 分 : /etc/passwd 和 /etc/shadow。 影 子 口令 文件 保 
存 加 密 的 口令 。/etc/passwd 文件 中 的 密码 全 部 变 成 x。Shadow 只 能 是 root 可 读 , 从 而 保 
证 了 安全 。/etc/shadow 文件 每 一 行 的 格式 如 下 。 

用 户 名 : 加 密 口 令 : 上 一 次 修改 的 时 间 ( 从 1970 年 1 月 1 日 起 的 天 数 ): 口令 在 两 次 修 
改 间 的 最 小 天 数 : 口令 修改 之 前 向 用 户 发 出 警告 的 天 数 : 口令 终止 后 账号 被 禁用 的 天 数 : 
从 1970 年 1 月 1 日 起 账号 被 禁用 的 天 数 : 保留 域 。 

例如 : 

root: $1$ +t4sFPHBq S$ JXgSGgvkgBDD/D7FVVBBm0: 11037: 0: 99999: 7: -1: -1: 1075498172 

bin: * :11024: 0: 99999: 7: 3 

daemon: * : 11024: 0: 99999: 7: : : 

在 默认 情况 下 ,口令 更 新 并 不 开启 。 如 果 用 户 的 系统 没有 启动 影子 文件 ,那么 运行 
pwconyv 程序 。 

为 了 防止 口令 被 非 授 权 用 户 盗 用 ,对 其 设置 应 以 复杂 ,不 可 猜测 为 标准 。 一 个 好 的 口令 
至 少 6 个 字符 以 上 长 度 , 口 令 中 最 好 有 字母 和 其 他 符号 的 组 合 , 同 时 用 户 应 定期 更 改口 令 。 

3. 文件 系统 安全 

文件 系统 是 内 核 用 于 表示 和 组 织 系 统 存储 资源 的 抽象 概念 。 存 储 资源 可 以 包括 不 同 种 
类 的 媒体 (如 硬盘 、 磁 带 机 等 ) ,大 小 和 数量 也 千差万别 。 内 核 将 这 些 资 源 整合 在 单个 层次 的 
结构 内 ,该 结构 从 目录 “/” 开 始 , 往 下 延伸 至 任意 数目 的 子 目录 ,顶级 目录 称 为 根 目录 。 
UNIX 文件 系统 控制 文件 和 目录 中 的 信息 以 何 种 方式 存储 在 磁盘 及 其 他 辅助 存储 介质 上 。 
它 通过 一 组 访问 控制 规则 来 确定 一 个 主体 是 否 可 以 访问 一 个 指定 的 客体 。 

1) 访问 权限 设置 

通过 命令 1s 就 可 以 列 出 文件 (或 目录 ) 对 系统 内 不 同 用 户 所 给 予 的 访问 权限 。 例 如 ， 
图 8.2 所 示 为 文件 访问 控制 的 图 形 解释 。 
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图 8.2 文件 访问 权限 示意 图 


访问 权限 共有 9 位 ,分 为 3 组 ,用 以 指出 不 同 用 户 对 该 文件 的 访问 权限 。 

权限 有 3 种 : rz 人 允许 读 ; w 允许 写 ; x 允许 执行 。 用 户 有 3 种 类 型 : owner, 该 文件 的 属 
主 ; group ,该 文件 所 属 用 户 组 中 的 用 户 , 即 同 组 用 户 ; other, 除 上 述 二 者 以 外 的 其 他 用 户 。 

上 述 授权 模式 同样 适应 于 目录 ,用 1s-1 列 出 目录 时 ,目录 文件 的 类 型 为 d, 用 1s 列 目录 
需要 有 读 权限 。 要 是 一 个 文件 ,必须 有 该 文件 及 找到 该 文件 的 路 径 上 所 有 目录 分 量 的 相应 
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权限 。 

一 些 版 本 的 UNIX 系统 支持 访问 控制 列表 (ACL), 如 AIX 和 HP_UX 系统 , 它 被 用 做 
标准 的 UNIX 文件 访问 控制 的 扩展 。ACL 提供 更 完善 的 文件 安全 授权 设置 ,可 以 将 对 客体 
的 访问 控制 细 化 到 单个 用 户 , 而 不 是 笼统 的 “ 同 组 用 户 ” 或 其 他 用 户 ”。 

在 UNIX 系统 中 ,每 个 进程 都 有 真实 UID、 真 实 GID、 有 效 UID、 有 效 GID。 当 进程 试 
图 访问 文件 时 ,核心 将 进程 的 有 效 UID、GID 和 文件 的 访问 权限 位 中 相应 的 用 户 和 组 进行 
比较 ,决定 是 否 授 予 其 相应 权限 。 

2) 改变 权限 方案 

改变 文件 的 访问 权限 可 以 使 用 chmod 命令 ,并 以 新 的 权限 和 该 文件 名 为 参数 。 格 式 
如 下 : 

chmod [rfh] 访问 权限 文件 名 


合理 的 文件 授权 可 以 防止 偶然 地 改写 或 删除 一 个 重要 的 文件 。 改 变 文件 的 属 主 和 组 可 
以 使 用 chown 和 chgrp 命令 ,但 修改 后 原 属 主 和 组 成 员 就 无 法 修改 回来 了 。 

文件 授权 可 以 用 一 个 4 位 的 八进制 数 表 示 。 后 3 位 如 图 8. 2 所 示 的 3 组 权限 ,许可 位 
置 1, 不 允许 位 置 0。 最 高 的 一 个 八进制 数 分 别 对 应 SUID 位 .SGID 位 ,Sticky 位 ,其 中 前 两 
个 与 安全 有 关 , 称 为 特殊 位 ,下 面 会 叙述 到 。 

umask 也 是 一 个 4 位 的 八进制 数 ,UNIX 用 它 确 定 一 个 新 建文 件 的 授权 ,每 个 进程 都 有 
一 个 从 它 的 父 进程 中 继承 的 umask。umask 说 明 想 对 新 建文 件 或 新 建 目录 的 默认 授权 加 以 
屏蔽 的 部 分 。 

新 建文 件 的 真正 访问 权限 = 二 (一 umask) &.( 文 件 授权 ) 

3) 特殊 权限 位 设 定 

有 时 没有 被 授权 的 用 户 需 要 完成 某 些 要 求 授权 的 任务 。 例 如 ,passwd 程序 ,对 于 普通 
用 户 , 它 允许 改变 自身 的 口令 ,但 不 能 拥有 直接 访问 /etc/passwd 文件 的 权利 ,以 防止 改变 
其 他 用 户 的 口令 。 为 了 解决 这 个 问题 ,UNIX 允许 对 可 执行 目标 文件 设置 SUID 或 SGID。 

如 前 所 述 , 当 一 个 进程 执行 时 就 被 赋予 4 个 编号 ,以 标识 该 进程 隶属 于 谁 ,分 别 为 实际 
和 有 效 的 UID、 实 际 和 有 效 的 GID。 有 效 的 UID 和 GID 一 般 与 实际 的 UID 和 GID 相同 ， 
有 效 的 UID 和 GID 用 于 系统 确定 该 进程 对 于 文件 的 访问 许可 。 而 设置 可 执行 文件 的 
SUID 许 可 改变 了 上 述 情 况 。 当 设置 了 SUID 时 ,进程 的 有 效 UID 值 变 为 该 可 执行 文件 的 
所 有 者 的 有 效 UID, 而 不 是 执行 该 程序 用 户 的 有 效 UID, 因 此 ,由 该 程序 创建 的 文件 都 有 与 
该 程序 所 有 者 相同 的 访问 许可 。 这 样 ,程序 的 所 有 者 将 可 以 通过 程序 的 控制 在 有 限 的 范围 
内 向 用 户 发 表 不 允许 被 公众 访问 的 信息 。 用 “chmod u 十 s 文件 名 ”和 “chmod u 一 s 文件 名 ” 
来 设置 和 取消 SUID 设置 。 用 “chmod g 十 s 文件 名 ”和 “chmod g 一 s 文件 名 ”来 设置 和 取消 
SGID 设置 。 当 文件 设置 了 SUID 和 SGID 后 ,chown 和 chgrp 命令 将 全 部 取消 这 些许 可 。 

4. 文件 加 密 机 制 

数据 加 密 技术 在 计算 机 网 络 安全 中 的 地 位 越 来 越 重 要 。 所 谓 文件 加 密 机 制 , 就 是 将 数 
据 加 密 技术 引入 文件 系统 ,从 而 提高 计算 机 网 络 的 安全 性 。 目 前 Linux 已 经 有 多 种 文件 加 
密 措 施 ,典型 的 有 TCFS(Transparent Cryptographic File System)。TCFS 可 以 使 合法 拥有 
者 以 外 的 用 户 、 文 件 系 统 服 务 器 的 超级 用 户 , 以 及 在 用 户 和 远程 文件 系统 通信 线路 上 的 窃听 
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者 无 法 读 取 已 加 密 的 文件 ,但 对 于 该 文件 的 合法 拥有 者 ,访问 保密 文件 与 访问 普通 文件 几乎 
没有 差别 。 

5. 日 志 审计 机 制 

由 于 计算 机 网 络 系统 的 开放 性 和 复杂 性 ,使 得 网 络 系统 都 不 可 避免 地 存在 安全 漏洞 , 黑 
客 可 以 利用 这 些 漏洞 对 系统 进行 攻击 。 虽 然 Linux/UNIX 操作 系统 不 能 预测 何 时 主机 会 
受到 攻击 ,但 它 可 以 利用 安全 日 志文 件 机 制 记录 黑客 的 行踪 ,同时 可 以 记录 时 间 信 息 和 网 络 
连接 情况 ,并 将 这 些 信 息 重 定向 到 日 志文 件 中 备查 。 

安全 日 志文 件 机 制 是 Linux/UNIX 操作 系统 安全 结构 中 的 重要 环节 ,在 攻击 行为 发 生 
时 , 它 是 唯一 的 证 据 。 由 于 现在 黑客 攻击 系统 的 方法 有 很 多 种 ,因此 Linux 操作 系统 提供 了 
网 络 级 .主机 级 和 用 户 级 的 日 志 功能 。Linux 操作 系统 的 安全 日 志文 件 机 制 用 来 记录 整个 
操作 系统 的 使 用 状况 ,包括 所 有 系统 和 内 核 信息 、 每 一 次 网 络 连接 及 其 源 IP 地 址 ,长度 ; 有 
时 还 包括 攻击 者 的 用 户 名 和 使 用 的 操作 系统 、 远 程 用 户 申 请 访问 的 文件 .用 户 可 以 控制 的 进 
程 ,以 及 每 个 用 户 使 用 的 每 条 命令 等 。UNIX 系统 的 审计 机 制 监控 系统 中 的 事件 ,以 保证 安 
全 机 制 正确 工作 并 及 时 对 系统 异常 报警 提示 。 审 计 结 果 通 常 写 到 日 志文 件 中 ,常见 的 日 志 
文件 有 以 下 几 种 。 

(1) acct 或 pacc: 记录 每 个 用 户 使 用 过 的 命令 。 

(2) aculog: 拨 出 modems 记录 。 

(3) lastlog: 记录 用 户 最 后 一 次 成 功 登录 和 最 后 一 次 登录 失败 的 事件 。 

(4) loginlog: 不 良 登 录 尝 试 记录 。 

(5) message: 记录 输出 到 系统 主 控 台 及 由 syslog 系统 服务 程序 产生 的 信息 。 

(6) sulog: 记录 su 命令 的 使 用 情况 。 

(7) utmp: 记录 当前 登录 的 每 个 用 户 。 

(8) utmpx: 扩展 utmp。 

(9) wtmp: 记录 每 次 用 户 登录 和 注销 的 历史 信息 及 系统 开机 和 关机 。 

(10) wtmpx: 扩展 wtmp。 

(11) vold. log: 记录 使 用 外 部 介质 (如 软盘 或 光盘 ) 出 现 的 错误 。 

(12) xferlog: 记录 FTP 的 访问 情况 。 

其 中 最 常用 的 大 多 数 版 本 的 UNIX 都 具备 的 审计 服务 程序 是 syslogd, 它 可 以 实现 灵活 
的 配置 ,集中 式 管理 。 运 行 中 ,需要 对 信息 作 登 记 的 单个 软件 发 送 消 息 给 syslogd, 根 据 配置 
(/etc/syslog. conf) ,按照 消息 的 来 源 和 重要 程度 ,这 些 消息 可 以 记录 到 不 同 的 文件 .设备 或 
其 他 主机 中 。 

Linux 日 志 与 UNIX 类 似 。 大 部 分 Linux 把 输出 的 日 志 信 息 放 入 标准 或 共享 的 日 志文 
件 里 。 相 应 地 ,Linux 系统 有 很 多 日 志 工 具 , 如 lastlog 跟踪 用 户 登录 ,last 报告 用 户 的 最 后 
登录 ,Xfer 记录 FTP 文件 传输 等 。 

当前 的 UNIX/Linux 系统 很 多 都 支持 “C2 级 审计 ”, 即 达到 了 由 TCSEC( 可 信任 的 计算 
机 系统 评价 规范 ) 所 规定 的 C2 级 审计 标准 。 


8.2.4 UNIX/Linux 安全 配置 
当前 的 UNIX 系统 通常 运行 在 网 络 环境 中 ,默认 支持 TCP/IP 协议 。 网 络 的 安全 性 通 
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是 指 通过 防止 本 机 或 本 网 络 被 非法 侵入 .访问 ,从 而 达到 保护 本 系统 可 靠 、 正 常 运行 的 
的 。 

UNIX 可 以 提供 网 络 访问 控制 和 有 选择 地 允许 用 户 和 主机 与 其 他 主机 的 连接 。 

相关 的 配置 文件 如 下 。 

(1) /etc/inetd. conf: 文件 内 容 是 系统 提供 的 服务 。 

(2) /etc/services: 文件 里 罗列 了 端口 .协议 和 对 应 的 名 称 。 

(3) TCP-WAPPERS: 由 /etc/hosts. allow 和 /etc/hosts. deny 两 个 文件 控制 。 

用 这 个 文件 可 以 很 容易 地 控制 哪些 IP 地 址 禁止 登录 ,哪些 可 以 登录 。 系 统 在 使 用 它们 
的 时 候 , 先 检查 当前 的 文件 ,从 头 到 尾 扫 描 ,如 果 发 现 用 户 的 相应 记录 标记 ,就 给 用 户 提 供 要 
求 的 服务 。 如 果 没 有 找到 记录 ,就 扫描 hosts. deny 文件 ,查看 是 否 有 禁止 用 户 的 标记 ,如 果 
在 该 文件 中 发 现 记录 ,就 拒绝 该 用 户 的 服务 请 求 ,如 果 仍 然 没 有 找到 记录 , 则 使 用 系统 加 
认 值 。 

网 上 访问 的 常用 工具 有 telnet、ftp、rlogin、rcp 和 rcmd 等 ,对 它们 的 使 用 必须 加 以 限 
制 , 最 简单 的 方式 就 是 修改 /etc/services 中 相应 的 服务 器 端口 号 ,使 其 完全 拒绝 向 外 的 这 类 
访问 ,或 者 对 于 网 上 的 访问 做 有 条 件 的 限制 。 

当 远程 使 用 ftp 访问 本 系统 时 , UNIX 系统 首先 验证 用 户 名 和 密码 ,无 误 后 查看 /etc/ 
ftpusers 文件 ,一 旦 其 中 包含 登录 的 用 户 名 则 自动 拒绝 连接 ,从 而 达到 限制 用 户 访 问 的 目 
的 。 因 此 ,只 要 把 本 机 内 除 匿名 ftp 以 外 的 所 有 用 户 列 入 ftpusers 文件 中 ,即使 人 侵 者 获得 
本 机 正确 的 用 户 信息 ,也 无 法 登录 系统 。 需 对 外 发 布 的 信息 放 到 /usr/ftp/pub 下 ,让 用 户 通 
过 匿名 ftp 获取 。 使 用 匿名 ftp 不 需要 密码 ,不 会 对 本 机 安全 构成 威胁 ,因为 它 无 法 改变 目 
录 , 也 无 法 获得 本 机 内 的 其 他 信息 。 使 用 远程 注册 数据 文件 (. netrc 文件 ) 配 置 需 注意 保密 ， 
防止 泄露 其 他 相关 主机 的 信息 。 

UNIX 没有 直接 提供 对 telnet 的 控制 。 但 我 们 知道 ,/etc/profile 是 系统 默认 shell 变量 
文件 ,所 有 用 户 登录 时 必须 首先 执行 它 , 故 可 修改 该 文件 达到 访问 控制 的 目的 。 

在 UNIX 中 的 另 一 个 功能 是 等 价 访问 ,有 用 户 等 价 和 主机 等 价 两 种 。 用 户 等 价 就 是 用 
户 可 以 不 用 输入 密码 即 可 以 相同 的 用 户 信息 登录 到 另 一 台 主 机 上 。 用 户 等 价 信息 保存 的 文 
件 名 为 在 根 目录 或 用 户主 目录 下 的 rhosts, 它 的 内 容 如 下 : 

# 主 机 名 用 户 名 

jmu20001 root 

jmu20002 jwgl 

主机 等 价 类 似 于 用 户 等 价 ,两 台 计 算 机 除根 目录 外 的 所 有 区 域 有 效 。 主 机 等 价 文件 为 
hosts. equiv, 存 放 于 /etc 下 。 

使 用 用 户 等 价 和 主机 等 价 这 类 访问 ,用 户 可 以 不 用 口令 而 像 其 他 有 效用 户 一 样 登录 到 
远程 系统 上 。 例 如 ,使 用 rlogin 登录 ,使 用 rcp 命令 从 本 地 主机 或 向 远程 复制 文件 ,使 用 
rcmd 命令 远程 执行 本 机 命令 等 。 因 此 ,等 价 访问 具有 严重 的 不 安全 性 ,必须 严格 控制 或 在 
非常 可 靠 环 境 下 使 用 。 

一 个 网 络 系统 的 安全 性 在 很 大 程度 上 取决 于 管理 者 的 素质 ,以 及 管理 者 所 采取 的 安全 
措施 的 力度 。SCO UNIX 作为 一 个 成 熟 的 商用 网 络 操作 系统 ,广泛 应 用 在 金融 等 行业 , 具 
有 较 好 的 稳定 性 和 安全 性 。 但 是 如 果 用 户 没有 对 系统 进行 正确 的 配置 ,仍然 会 给 入 侵 者 提 
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供 可 乘 之 机 。 下 面 以 SCO UNIX Openserver V5. 05 为 例 ,对 操作 系统 级 的 网 络 安全 设置 提 
供 一 些 建议 。 

(1) 合理 设置 系统 的 安全 级 别 。SCO UNIX 提供 了 4 个 安全 级 别 ,分 别 为 Low、 
Traditional Improved 和 High, 系 统 默认 为 Traditional ,Improved 级 达到 美国 国防 部 的 C2 
级 安全 标准 ; High 级 则 高 于 C2 级 。 用 户 可 以 根据 自己 系统 的 重要 性 及 用 户 数量 的 多 少 ， 
设置 适合 自己 需要 的 系统 安全 级 别 ,具体 设置 步骤 是 : scoadmin 一 system 一 security 一 
security profile manager。 

(2) 合理 设置 用 户 权限 。 建 立 用 户 时 ,一 定 要 考虑 该 用 户 隶 属 哪 一 组 ,不 能 随便 选用 系 
统 默认 的 group 组 。 如 果 需 要 ,可 以 新 增 一 个 用 户 组 ,并 确定 同 组 成 员 , 在 该 用 户 的 主 目录 
下 ,新 建文 件 的 存 取 权限 是 由 该 用 户 的 配置 文件 . profile 中 的 umask 值 决 定 。umask 的 值 
取决 于 系统 的 安全 级 别 ,Traditional 安全 级 的 umask 的 值 为 022, 它 的 权限 类 型 如 下 。 

文件 权限 : -rw-r--r-- 

目录 权限 : drwxr-xr-x 

此 外 ,还 要 限制 用 户 成 功 登 录 的 次 数 ,避免 人 侵 者 用 猜测 用 户口 令 的 方式 尝试 登录 。 为 
账户 设置 登录 限制 的 步骤 : scoadmin 一 Account manager 选 账户 一 user-login controls 一 
输入 不 成 功 登 录 的 次 数 。 

(3) 指定 主 控 台 及 终端 登录 的 限制 。 如 果 和 希望 root 用 户 只 能 在 某 个 终端 上 登录 ,那么 
就 要 对 主 控 台 进 行 指 定 。 例 如 ,指定 root 用 户 只 能 在 主机 第 一 屏 tty01 上 登录 ,这 样 就 可 以 
避免 从 远程 攻击 超级 用 户 root。 设 置 方 法 是 在 /etc/default/login 文件 中 增加 一 行 
CONSOLE= /dev/tty01。 

如 果 终 端 是 通过 modem 异步 拨号 或 长 线 驱 动 器 异步 串口 接 入 UNIX 主机 ,就 要 考虑 
设置 某 终端 不 成 功 登 录 的 次 数 ,超过 该 次 数 后 锁定 该 终端 。 设 置 方法 : scoadmin 一 system 一 
terminal manager 习 examine 习 选 终端 ,再 设置 该 终端 不 成 功 登录 次 数 。 如 果 某 终端 被 锁定 ， 
可 用 ttyunlock( 终 端 号 ) 进 行 解锁 ,也 可 用 ttylock( 终 端 号 ) 直 接 加 锁 。 

有 时 为 了 方便 使 用 而 将 许多 目录 和 文件 权限 设置 为 777 或 666, 会 给 黑客 攻击 提供 方 
便 , 应 该 仔细 分 配 每 个 文件 和 目录 的 权限 。 发 现 目录 和 文件 的 权限 不 适当 ,应 及 时 用 chmod 
命令 进行 修正 。 

口令 的 组 成 应 以 无 规则 的 大 小 写字 母 .数字 和 符号 相 结合 ,口令 长 度 不 少 于 6 个 字符 ， 
绝对 避免 采用 英文 单词 作为 口令 ,并 且 要 养 成 定期 更 换 各 种 用 户口 令 的 习惯 。 通 过 编 
辑 /etc/default/passwd 文件 ,可 以 强制 设 定 最 小 口令 长 度 ,两 次 口令 修改 之 间 的 最 短 、 最 长 
时 间 。 另 外 ,口令 的 保护 还 涉及 对 /etc/passwd 和 /etc/shadow 文件 的 保护 ,必须 做 到 只 有 
系统 管理 员 才 能 访问 这 两 个 文件 。 

设置 等 价 主机 可 以 方便 用 户 操作 ,但 要 严防 未 经 授权 的 用 户 非法 进入 系统 。 所 以 必须 
管理 /etc/hosts. equiv、. rhosts 和 . netrc 这 3 个 文件 。 其 中 /etc/hosts. equiv 列 出 了 允许 执 
行 rsh、rcp 等 远程 命令 的 主机 名 称 ; . rhosts 在 用 户 目 录 内 指定 了 远程 用 户 的 账号 ,其 远程 
用 户 使 用 本 地 账户 执行 rcp、rlogin 和 rsh 等 命令 时 不 必 提 供 口令 ; . netrc 提供 了 ftp 和 
rexec 命令 所 需 的 信息 ,可 自动 连接 主机 而 不 必 提 供 口令 ,该 文件 也 放 在 用 户 本 地 目录 中 。 
由 于 这 3 个 文件 的 设置 都 允许 一 些 命令 不 必 提 供 口令 便 可 访问 主机 ,因此 必须 限制 这 3 个 
文件 的 设置 。 在 . rhosts 中 尽量 不 用 “十 十 ”, 因 为 它 可 以 使 任何 主机 的 用 户 不 必 提 供 口 令 而 
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直接 执行 rcp、rlogin 和 rsh 等 命令 。 

(4) 合理 配置 /etc/inetd. conf 文件 。UNIX 系统 启动 时 运行 inetd 进程 ,对 大 部 分 网 络 
连接 进行 监听 ,并 且 根 据 不 同 的 申请 启动 相应 的 进程 。 其 中 ftp telnet、rcemd,、rlogin 和 
finger 等 命令 都 由 inetd 来 启动 对 应 的 服务 进程 。 因 此 从 系统 安全 角度 出 发 ,应 该 合理 地 设 
置 /etc/inetd. conf 文件 ,将 不 必要 的 服务 关闭 。 关 闭 的 方法 是 在 文件 相应 行 首 插入 “##” 字 
符 , 并 执行 下 列 命 令 以 使 配置 后 的 命令 立即 生效 。 

#ps -ef | grep inetd | grep —v grep 

#kill — HUP < inetd — PID> 

(5) 合理 设置 /etc/ftpusers 文件 。 在 /etc/ftpusers 文件 里 列 出 了 可 用 ftp 进行 文件 传 
输 的 用 户 , 为 了 防止 不 信任 用 户 传输 敏感 文件 ,必须 合理 规划 该 文件 。 在 对 安全 要 求 较 高 的 
系统 中 ,不 允许 ftp 访问 root 和 UUCP, 可 将 root 和 UUCP 列 入 /etc/ftpusers 中 。 

(6) 合理 设置 网 段 及 路 由 。 在 主机 中 设置 TCP/IP 协议 的 IP 地 址 时 ,应 该 合理 设置 子 
网 掩 码 ,把 禁止 访问 的 IP 地 址 隔离 开 来 。 严 格 禁 止 设置 默认 路 由 ( 即 default route) 。 建 议 
为 每 个 子 网 或 网 段 设置 一 个 路 由 ,和 否则 其 他 机 器 就 可 能 通过 一 定 方式 访问 该 主机 。 

(7) 不 设置 UUCP。UUCP 为 采用 拨号 用 户 实现 网 络 连接 提供 了 简单 .经济 的 方案 ,但 
同时 也 为 黑客 提供 了 入 侵 手 段 ,所 以 必须 避免 利用 这 种 模式 进行 网 络 连接 。 

(8) 删除 不 用 的 软件 包 及 协议 。 在 进行 系统 规划 时 ,总 的 原则 是 将 不 需要 的 功能 一 律 
去 掉 。 如 通过 scoadmin~>soft manager 去 掉 X-window; 通过 修改 /etc/services 文件 去 掉 
UUCP、SNMP.、POP 等 协议 。 

(9) 正确 配置 . profile 文件 。. profile 文件 提供 了 用 户 登录 程序 和 环境 变量 ,为 了 防止 一 
般 用 户 采 用 中 断 的 方法 进入 $ 符号 状态 ,系统 管理 者 必须 屏蔽 掉 键盘 中 断 功能 。 具 体 方法 
是 在 . profile 首部 增加 如 下 一 行 : 


trap "0123515 


(10) 创建 匿名 FTP。 如 果 需 要 对 外 发 布 信息 而 又 担心 数据 安全 ,可 以 创建 匿名 FTP， 
允许 任何 用 户 使 用 匿名 FTP。 注 意 ,不 要 复制 /etc/passwd、/etc/group 到 匿名 FTP 的 /etc 
下 ,这 样 会 对 安全 产生 威胁 。 

(11) 应 用 用 户 与 维护 用 户 分 开 。 金 融 系 统 UNIX 的 用 户 都 是 最 终 用 户 ,他 们 只 需 在 具 
体 的 应 用 系统 中 完成 某 些 固定 的 任务 ,一 般 情况 下 不 允许 执行 系统 命令 (shell) ,其 应 用 程 
序 由 . prifle 调用 ,应 用 程序 结束 后 就 退回 login 状态 。 维 护 时 要 用 到 root 级 别 的 su 命令 进 
入 应 用 用 户 ,很 不 方便 。 可 以 通过 修改 . profile 文件 ,再 创建 一 个 相同 id 用 户 的 方法 解决 。 


8.3 Windows 系统 安全 


8.3.1 Windows 系统 的 发 展 


1970 年 ,美国 Xerox 公司 成 立 了 著名 的 研究 机 构 PARC(Palo Research Center) ,从 事 
局 域 网 .激光 打印 机 、 图 形 用 户 接口 和 面向 对 象 技术 的 研究 , Windows 的 起 源 可 以 追溯 到 
Xerox 公司 进行 的 工作 。Xerox 公司 于 1981 年 宣布 推出 世界 上 第 一 个 商用 的 GUI 系 
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统 Star 8010 工作 站 。 但 与 后 来 许多 公司 一 样 ,由 于 种 种 技术 原因 ,技术 上 的 先进 性 并 
没有 给 它 带 来 所 期 望 的 商业 上 的 成 功 。 

Apple 公司 的 创始 人 之 一 Steve Jobs 在 参观 Xeros 公司 的 PARC 研究 中 心 后 ,认识 到 
图 形 用 户 界 面 接口 的 重要 性 及 其 广阔 的 市 场 前 景 , 着 手 进 行 GUI 系统 的 研究 开发 工作 ,并 
于 1983 年 推出 了 第 一 个 GUI 系统 一 一 Apple Lisa。 随 后 不 久 , Apple 又 推出 了 Apple 
Macintosh ,这 是 世界 上 第 一 个 成 功 的 商用 GUI 系统 。 当 时 Apple 公司 在 开发 Macintosh 
时 ,处 于 市 场 战 略 上 的 考虑 ,只 开发 了 Apple 公司 自己 计算 机 上 的 GUI 系统 ,而 此 时 基于 
x86 微 处 理 器 芯片 的 IBM 兼容 机 已 经 渐 露 峥 嵘 ,从 而 给 Microsoft 公司 开发 Windows 提供 
了 发 展 空间 和 市 场 。 

Microsoft 公司 在 1983 年 宣布 开始 研发 Windows, 分 别 在 1985 年 和 1987 年 推出 了 
Windows 1.03 和 Windows 2.0 版本。 但 由 于 当时 硬件 和 DOS 操作 系统 的 限制 ,这 两 个 版 
本 并 没有 取得 成 功 。 此 后 ,Microsoft 公司 对 Windows 的 内 存 管理 .图 形 界面 做 了 重大 改 
进 , 使 得 图 形 界面 更 加 美观 ,并 支持 虚拟 内 存 ,1990 年 5 月 推出 了 Windows 3. 0 并 获得 了 成 
功 ,在 不 到 6 周 的 时 间 内 , 共 销 售 了 50 万 份 Windows 3. 1 复制 品 , 从 而 一 举 黄 定 了 
Microsoft 公司 在 操作 系统 上 的 垄断 地 位 。 

之 后 推出 的 Windows 3.1 在 3.0 基础 上 做 了 改进 ,引入 了 TrueType 字体 ,这 是 一 种 可 
以 缩放 的 字体 技术 , 它 改进 了 性 能 。 同 时 还 引入 了 新 的 文件 管理 程序 ,改进 了 系统 可 靠 性 ， 
更 重要 的 是 增加 了 对 象 链接 与 嵌入 技术 (OLE) 和 多 媒体 技术 的 支持 。 

1993 年 ,Microsoft 推出 了 Windows NT 3. 1, NT 就 是 New Technology, 该 系统 具有 
以 下 特点 。 

(1) 分 布 式 计 算 。Windows NT 具有 强大 的 内 置 网 络 功能 ,包括 对 处 理 器 等 硬件 资源 
的 管理 。 

(2) 政府 认证 的 安全 性 。Windows NT 建立 在 C2 级 安全 级 别 上 (政府 部 门 的 NCSC 标 
准 安全 规范 ) 。 

(3) 多 处 理 和 可 缩放 性 。Windows NT 在 单 处 理 器 和 多 处 理 器 计算 机 上 运行 同样 的 应 
用 程序 。 

(4) 可 移植 性 。 用 于 设计 Windows NT 的 计算 机 语言 能 在 不 同 结 构 的 平台 之 间 自 由 移植 。 

(5) POSIX 规范 。Windows NT 符合 美国 政府 的 POSIX( 可 移动 操作 系统 界面 ) 标 准 ， 
因此 它 能 在 各 种 平台 和 软件 之 间 交 又 使 用 。 

随后 ,Microsoft 公司 在 1995 年 推出 了 Windows 95。 在 这 个 版 本 中 做 了 很 多 重大 的 改 
进 ,包括 更 加 优秀 的 图 形 用 户 界面 ; 全 32 位 的 高 性 能 多 任务 和 多 线程 ; 内 置 的 对 Internet 
的 支持 ; 即 插 即 用 的 硬件 操作 ; 32 位 线性 寻 址 的 内 存 管理 和 向 下 兼容 性 等 。 

1996 年 ,Windows NT 4. 0 发 布 ,增加 了 许多 对 应 管理 方面 的 特性 ,稳定 性 也 相当 不 
错 , 这 个 版 本 的 Windows 软件 至 今 仍 有 不 少 公司 使 用 。 

1998 年 ,Microsoft 公司 推出 了 Windows 98, 它 支持 比 Windows 95 更 多 的 硬件 技术 和 
网 络 性 能 。 

2000 年 ,Microsoft 公司 推出 了 Windows 2000。 它 的 字符 编码 采用 国际 通用 的 UCS 
编码 ,网 络 功能 更 强大 ,性 能 更 加 稳定 ,用 户 操 作 更 加 方便 快捷 ,但 对 硬件 要 求 也 比较 高 。 

2001 年 ,Microsoft 公司 推出 了 Windows XP, 在 该 系统 中 把 所 有 用 户 的 要 求 合 成 到 一 
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个 操作 系统 中 , 同 以 前 的 系统 相 比 ,稳定 性 有 了 很 大 提高 ,而 为 此 付出 的 代价 是 丧失 了 对 基 
于 DOS 程序 的 支持 。 

2003 年 ,Microsoft 公司 发 布 了 Windows Server 2003, 对 活动 目录 、 组 策略 操作 和 管 
理 \ 磁 盘 管 理 等 面向 服务 器 的 功能 做 了 较 大 改进 ,对 . net 技术 的 完善 支持 进一步 扩展 了 服 
务 器 的 应 用 范围 。 

2007 年 ,Microsoft 公司 正式 推出 了 Windows Vista 操作 系统 ,具有 更加 灵活 方便 的 用 
户 界面 ,同时 在 安全 性 方面 做 了 很 多 改进 ,但 对 硬件 的 要 求 也 更 高 。 

2009 年 10 月 ,微软 公司 推出 了 Windows 7 操作 系统 , 它 解 决 了 Windows Vista 中 的 许 
多 问题 ,并 得 到 了 广泛 的 应 用 , 相 比 以 往 的 系统 ,Windows 7 的 错误 诊断 和 修复 机 制 更 为 强 
大 ,改善 了 用 户 体 验 。 

2012 年 10 月 ,Windows 8 在 美国 正式 推出 。 该 系统 具有 良好 的 续航 能 力 , 且 启动 速度 
更 快 .占用 内 存 更 少 , 并 兼容 Windows 7 所 支持 的 软件 和 硬件 。 

2015 年 10 月 ,Windows 10 是 微软 发 布 的 最 后 一 个 Windows 版 本 ,Windows 10 大 幅 
减少 了 开发 阶段 。 它 不 仅仅 运行 于 个 人 计算 机 ,还 能 够 运行 在 手机 等 移动 设备 和 终端 ,成 为 
一 个 多 平台 的 操作 系统 。 


8.3.2 Windows 的 特点 


Windows 具有 以 下 优点 。 

(1) 高 效 直观 的 面向 对 象 的 图 形 用 户 界 面 .易学 易 用 。 从 某 种 意义 上 说 , Windows 用 户 界 
面 和 开发 环境 都 是 面向 对 象 的 ,这 种 操作 方式 模拟 了 现实 世界 的 行为 ,易于 理解 .学 习 和 使 用 。 

(2) 多 任务 。Windows 允许 用 户 同时 运行 多 个 应 用 程序 ,或 者 在 一 个 程序 中 同时 做 几 
件 事情 。 每 个 程序 在 屏幕 上 占据 一 块 矩 形 区 域 , 这 个 区 域 称 为 窗口 ,窗口 是 可 以 重 和 的 ,用 
户 可 以 移动 这 些 窗 口 ,或 者 在 不 同 的 应 用 程序 之 间 进 行 切换 ,并 且 可 以 在 程序 之 间 进 行 手工 
和 自动 的 数据 交换 和 通信 。 

(3) 用 户 界面 统一 、 友 好 、 美 观 。Windows 应 用 程序 大 多 符合 IBM 公司 提出 的 CUA 
(Common User Access) 标 准 , 所 有 的 程序 拥有 相同 的 或 相似 的 基本 外 观 ,包括 窗口 .菜单 、 
工具 条 等 。 用 户 只 要 掌握 其 中 一 个 ,就 很 容易 学 会 其 他 软件 的 使 用 。 

(4) 丰富 的 与 设备 无 关 的 图 形 操作 。Windows 的 图 形 设备 接口 (GDI) 提 供 了 丰富 的 图 
形 操作 函数 ,可 以 绘制 出 诸如 线 . 圆 等 几何 图 形 ,并 支持 各 种 输出 设备 。 


8.3.3 Windows 7 安全 基础 


在 继承 以 前 老 版 本 Windows 安全 技术 的 基础 上 ,为 应 对 传统 的 针对 Windows 操作 系 
统 的 攻击 威胁 ,Windows 7 引入 了 一 整套 的 防御 体系 ,涉及 攻击 者 可 能 利用 的 方方面面 , 采 
用 的 安全 防护 体系 如 图 8. 3 所 示 。 

内 存 保护 模块 中 使 用 的 安全 技术 主要 有 地 址 空间 随机 化 分 布 (Address Space Layout 
Randomization, ASLR )、 安 全 结构 化 异常 处 理 (Safe Structural Exception Handling， 
SafeSEH) ,数据 执行 防护 (Data Execution Protection, DEP) 安全 堆 管 理 和 GS 栈 保护 等 。 
这 些 技术 用 于 阻止 攻击 者 使 用 一 些 特殊 攻击 程序 或 恶意 代码 对 系统 进行 破坏 ,弥补 内 存 处 
理 方面 的 诸多 安全 威胁 ,如 堆栈 缓冲 区 溢出 、 堆 栈 函 数 指针 覆盖 及 堆 涪 出 等 ,有 效 保护 操作 
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系统 内 核 和 Microsoft 内 置 应 用 程序 的 安全 。 其 中 DEP 和 ASLR 对 内 存 保 护 模块 较为 重 
要 ,DEP 可 以 禁止 在 内 存 空 间 数据 段 上 执行 代码 ,ASLR 采用 特定 的 随机 分 配 算法 使 关键 
的 系统 文件 在 内 存 空 间 的 加 载 地 址 变 得 不 可 预测 ,使 得 利用 系统 文件 进行 攻击 活动 的 恶意 
代码 无 法 获得 正确 系统 文件 信息 ,这 两 项 技术 的 结合 可 以 有 效 阻止 绝 大 多 数 传统 的 攻击 
方式 。 












































































































































Windows7 
System Process 
ASLR GS DEP UAC cl BitLocker Seperation 
bbs 
内 存 保 | Secure Heap | |SsafeSEH Code Protected Mandatory 
护 模块 | Manager WRP Process Process Integrity Control 
Restricted Socket Windows e 
Code Patch MomentoYy Services ACLs Defender Windows Update 
TIVer 
Integrity || Guard Signing 
系统 和 用 户 态 Windows User Interface 
内 核 完整 性 防护 模块 防护 模块 Firewall Privilege Isolation 





























图 8.3 Windows 7 安全 防护 体系 


操作 系统 内 核 是 现代 操作 系统 的 核心 组 件 ,其 重要 性 显而易见 ,如 果 内 核 出 现 了 安全 问 
题 ,那么 系统 底层 基本 架构 就 不 再 受到 信赖 。 为 提高 系统 内 核 的 安全 性 和 可 信和 度 , Windows 7 
在 内 核 完整 性 防护 模块 中 使 用 的 安全 技术 主要 有 代码 完整 性 验证 ,强制 驱动 签名 和 内 核 保 
护 。 代 码 完整 性 验证 技术 用 于 确定 系统 内 核 是 否 因为 偶然 因素 或 恶意 攻击 被 算 改 。 强 制 驱 
动 签 名 技术 要 求 所 有 内 核 驱 动 都 必须 进行 数字 签名 ,未 经 正确 签名 的 任何 驱动 程序 都 无 法 
进入 内 核 地 址 空间 。 内 核 保护 技术 也 称 为 Kernel Patch 保护 技术 ,用 于 防止 未 经 许可 的 软 
件 修 改 Windows 7 系统 内 核 。 总 体 来 说 ,代码 完整 性 验证 和 强制 驱动 签名 技术 是 通过 静态 
的 方式 来 验证 被 加 载 代码 的 完整 性 ,以 保证 加 载 的 代码 没有 被 恶意 算 改 ,但 其 代码 完整 性 只 
是 在 加 载 时 验证 ,并 不 能 提供 在 系统 运行 过 程 中 通过 动态 的 方式 来 检查 系统 中 一 些 关 键 的 
数据 结构 和 关键 的 内 核 代 码 的 完整 性 ,防止 任何 非 授 权 软 件 修 改 Windows 7 内 核 。 

系统 和 用 户 态 模块 的 主要 用 途 是 程序 运行 时 只 拥有 所 需 的 最 小 权限 ,并 且 在 已 经 划分 
的 内 存 空间 中 运行 ,防止 所 有 的 程序 都 以 管理 员 权限 运行 ,从 而 减少 恶意 程序 自动 威胁 整个 
Windows 系统 。 其 采用 的 安全 技术 主要 有 用 户 账 户 控 制 (UCA)、BitLocker 技术 、Windows 
防火 墙 、 系 统 进程 分 离 、Windows Defender、 限 制服 务 和 Windows 资源 保护 等 。 为 支撑 系统 
和 用 户 态 防护 模块 进行 权限 控制 操作 ,Windows 7 对 先前 版 本 中 基于 访问 控制 列表 的 权限 
控制 机 制 进行 了 改进 ,引入 了 强制 完整 性 级 别 (Mandatory Integrity Level) 的 概念 。 强 制 完 
整 性 级 别 将 用 户 权限 划分 为 6 个 等 级 , 即 不 可 信 、 低 、. 中 、 高 .系统 和 安装 者 。 不 可 信 级 别 是 
赋予 匿名 登录 到 系统 进程 的 级 别 ; 低级 别 是 与 Internet 进行 交互 时 的 默认 级 别 ,表现 为 IE 
的 保护 模式 ; 中 级 别 是 大 多 数 对 象 所 在 的 级 别 , 相 当 于 标准 用 户 权限 ,这 时 只 能 对 计算 机 进 
行 一 些 基 本 的 操作 ,不 能 安装 程序 ,也 不 能 向 系统 文件 夹 等 关键 位 置 中 写 入 文件 ; 高 级 别 对 
应 于 管理 员 权 限 , 这 个 级 别 允 许 安装 程序 ,也 可 以 向 系统 文件 夹 等 关键 位 置 中 写 入 文件 ,但 
其 使 用 受到 用 户 账户 控制 UAC 的 限制 ; 系统 级 别 是 为 系统 对 象 保留 的 ,Windows 7 内 核 和 
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关键 服务 运行 于 系统 级 别 , 它 比 管理 员 权 限 更 高 一 级 ,可 以 控制 更 多 的 文件 和 注册 表 项 ,但 
关系 到 系统 稳定 性 的 一 些 关键 文件 还 是 只 能 读 取 ; 安装 者 级 别 是 最 高 的 完整 性 级 别 ,可 以 
任意 修改 Windows 7 系统 的 关键 文件 ,表现 为 Windows 资源 保护 WRP 机 制 ,只 有 受信 任 
的 安装 者 才能 对 其 保护 的 资源 进行 修改 。 


8.3.4 Windows 7 系统 安全 机 制 


Windows 7 是 基于 微软 的 安全 开发 生命 周期 框架 开发 的 ,完善 了 审计 、 监 控 和 数据 加 密 
的 功能 ,加 强 了 对 远程 通信 的 支持 。Windows 7 保留 了 Windows Vista 下 所 有 的 安全 机 制 
以 加 强 系 统 的 安全 防护 能 力 , 并 在 系统 底层 的 实现 方面 进行 了 改进 ,使 得 Windows 7 的 内 
核 修复 保护 .服务 强化 .数据 执行 防御 和 地 址 空间 随机 化 等 功能 可 以 更 好 地 抵御 攻击 行为 。 

概括 起 来 ,Windows 7 主要 采用 内 核 完整 性 、 内 存 保护 、 系 统 完整 性 及 用 户 空间 防护 等 
安全 机 制 对 系统 进行 保护 。 内 存 保护 机 制 使 得 攻击 代码 在 目标 计算 机 上 很 难得 到 执行 ,用 
户 空间 的 权限 控制 机 制 即使 让 攻击 代码 执行 了 ,也 只 能 处 于 比较 低 的 权限 级 别 ,无 法 对 目标 计 
算 机 进行 深入 控制 ,加 上 内 核 的 完整 性 验证 机 制 ,攻击 代码 更 难以 在 目标 计算 机 上 长 期 存在 。 

1. 内 存 保护 机 制 

Windows 7 的 内 存 保护 机 制 可 以 分 为 两 大 类 : 一 类 是 用 于 检测 内 存 泄露 ,包括 GS 栈 溢 
出 检测 .结构 化 异常 处 理 覆 盖 保 护 (Structured Exception Handling Overwrite Protection ， 
SEHOP) 和 堆 溢 出 检测 ; 另 一 类 是 用 于 阻止 攻击 代码 运行 的 ,包括 GS 变量 重 定位 、 安 全 结 
构 化 异常 处 理 SafeSEH ,数据 执行 保护 DEP 和 地 址 空间 随机 化 分 布 ASLR 。 

GS 栈 溢出 检测 机 制 是 2002 年 针对 传统 的 栈 溢 出 攻击 方法 提出 来 的 ,但 该 机 制 仍然 可 
以 被 攻击 者 利用 或 规避 ,如 在 系统 检查 Cookie 值 之 前 的 时 间 段 里 ,攻击 程序 仍 可 调用 被 覆 
盖 的 参数 或 变量 。 为 了 解决 这 个 问题 , Windows 又 引入 了 GS 变量 的 重 定 位 机 制 , 基 本 上 阻 
止 了 直接 覆盖 函数 返回 地 址 这 种 漏洞 利用 方法 ,但 由 于 GS 的 覆盖 范围 有 限 ,并 不 能 完全 阻 
止 栈 溢出 攻击 的 发 生 。 

SEH(Structured Exception Handling) 机 制 是 Windows 操作 系统 提供 的 针对 错误 或 异 
常 的 一 种 处 理 机 制 , 由 于 攻击 者 可 以 通过 覆盖 函数 异常 处 理 句 柄 在 函数 返回 之 前 引发 异常 
来 执行 攻击 代码 ,为 此 Windows 又 引入 了 SafeSEH 机 制 , 它 在 执行 异常 处 理 程序 之 前 对 该 
程序 进行 检查 ,判断 是 否 安全 ,车 不 能 确保 该 程序 没有 被 算 改 , 则 拒绝 执行 。SafeSEH 机 制 
需要 对 应 用 程序 进行 重新 编译 ,而 大 多 数 已 有 程序 都 没有 采用 SafeSEH 机 制 ,使 得 攻击 代码 
仍然 有 机 可 乘 。 为 了 解决 这 个 问题 ,Windows 7 给 出 了 一 种 不 需要 重新 编译 程序 的 SEHOP 机 
制 , 它 通过 在 SEH 链 的 最 后 插入 一 个 确认 帧 的 方式 来 实现 拒绝 执行 攻击 代码 的 目的 。 

DEP 机 制 是 在 2004 年 8 月 发 布 的 Windows XP SP2 中 最 先 引 入 的 ,由 于 利用 返回 库 
函数 的 方法 可 以 绕 过 DEP 机 制 的 限制 ,这 表明 单独 使 用 DEP 机 制 的 效果 并 不 好 ,为 改善 这 
种 局 面 ,Windows 引入 DEP 的 永久 标记 .一旦 进程 开始 运行 ,其 DEP 策略 就 不 允许 改变 ， 
进而 提高 对 可 执行 内 存 段 恶意 代码 的 抵抗 能 力 。ASLR 机 制 是 在 2006 年 提出 的 ,从 
Windows Vista 系统 开始 启用 。Windows 7 加 强 了 对 ASLR 机 制 的 支持 ,一 定 程度 上 提升 
了 攻击 者 猜测 内 存 空间 系统 文件 加 载 地 址 的 难度 。 

2. 权限 控制 机 制 

Windows 7 权限 控制 机 制 主 要 包括 用 户 账 户 控制 机 制 UAC、Windows 防火 墙 、 
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Windows Defender 反 间 谍 软 件 、BitLocker 加 密 、 限 制服 务 和 Windows Update 等 。 

用 户 账户 控制 机 制 UAC 的 工作 原理 是 调整 用 户 账户 的 权限 级 别 , 其 设置 界面 如 图 8. 4 
所 示 。UAC 可 以 确保 用 户 不 管 是 以 标准 用 户 和 管理 员 身 份 登录 ,还 是 在 用 户 不 知情 的 情况 
下 都 无 法 对 计算 机 做 出 更 改 , 从 而 防止 在 计算 机 上 安装 恶意 软件 和 间谍 软件 ,或 者 对 计算 机 
做 出 任何 更 改 。 默 认 情 况 下 , 仅 在 程序 做 出 改变 时 才 会 弹出 UAC 提示 ,用 户 改变 系统 设置 
时 不 会 弹出 提示 。Windows 7 下 的 UAC 设置 提供 了 一 个 滑 块 允许 用 户 设置 通知 的 等 级 ， 
可 以 选择 以 下 4 种 选项 。 





轩 用 户 账户 控制 设置 =Il 





选择 何 时 通知 您 有 关 计算 机 更 改 的 消息 
用 户 账户 控制 有 助 于 预防 有 害 程序 对 息 的 计算 机 进行 更 改 。 
有 关 用 户 隆庆 党 制 冯 寺 的 洋 组 信息 


始终 通知 
这 仅 当 程序 罕 试 更 改 计算 机 时 通知 我 (不 隆 低 点 而 亮 度 ) 

。” 当 我 对 Windows 设置 进行 更 改 时 不 要 通知 我 
-= 

人 @ 不 堆 天 、 仅 在 天 要 元 入 很 长 时 间 才能 降低 计算 机 上 的 
| 点 而 完 度 时 ， 才 选择 此 选项 . 
从 不 通知 











图 8.4 Windows 7 用 户 账户 控制 设置 


(1) 对 每 个 系统 变化 进行 通知 。 任 何 系统 级 别 的 变化 (Windows 设置 .软件 安装 等 ) 都 
会 出 现 UAC 提示 窗口 。 

(2) 仅 当 程序 试图 改变 计算 机 时 发 出 提示 。 当 用 户 更 改 Windows 设置 (如 控制 面板 和 
管理 员 任 务 ) 时 将 不 会 出 现 提 示 信 息 。 

(3) 仅 当 程序 试图 改变 计算 机 时 发 出 提示 ,不 使 用 安全 桌面 。 这 与 前 述 情形 有 些 类 似 ， 
但 UAC 提示 窗口 仅 出 现在 一 般 桌 面 , 而 不 会 出 现在 安全 桌面 ,这 对 于 某 些 视频 驱动 程序 是 
有 用 的 ,因为 这 些 程序 让 桌面 转换 很 慢 。 

(4) 从 不 提示 ,相当 于 完全 关闭 UAC 功能 。 用 户 可 以 直接 对 UAC 进行 设置 ,以 减 小 
那些 自己 不 想 看 到 的 通知 窗口 出 现 的 频率 。 总 体 来 说 ,Windows 7 下 的 UAC 与 Windows 
Vista 下 的 UAC 相 比 有 了 重大 改进 ,需要 用 户 点 击 的 次 数 明显 减少 。UAC 的 目标 就 是 让 
用 户 能 够 控制 系统 的 改变 ,并 且 减 少 弹出 通知 的 次 数 以 免 干 扰 用 户 的 体验 。 

Windows 7 自 带 防火 墙 在 默认 情况 下 都 会 启用 ,用 户 可 以 在 控制 面板 中 查看 防火 墙 的 
状态 及 手动 设置 允许 出 人 系统 的 程序 。 从 处 理 防火 墙 配置 文件 的 角度 来 看 Windows 7 提 
供 了 一 个 很 小 但 极其 重要 的 改进 ,支持 用 户 为 公共 .私人 和 域 连接 设置 不 同 的 防火 墙 配置 文 
件 。 私 人 网 络 可 能 是 家 庭 无 线 网 络 ,除了 拥有 正确 的 WEP 或 WPA 密 钥 外 ,用 户 不 需要 任 
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何 凭 据 登 录 , 域 网 络 要 求 身份 验证 ,如 通过 密码 ,指纹 ,智能卡 或 几 种 组 合 来 登录 。 每 种 配置 
文件 类 型 都 有 自己 选择 的 允许 通过 防火 墙 的 应 用 程序 和 连接 ,在 家 庭 网 络 或 标记 为 私人 小 
型 企业 网 络 中 ,人 们 可 能 会 允许 文件 和 打印 机 共享 ,而 在 标记 为 公共 的 网 络 中 ,可 能 会 禁止 
访问 文件 。 所 有 Windows 7 版 本 都 允许 计算 机 同时 保持 几 个 防火 墙 配 置 文件 开启 ,为 可 信 
网 络 保 持 访 问 性 和 功能 ,同时 阻止 对 不 可 信和 网 络 的 访问 。 

Windows Defender 反 间 谍 软 件 可 以 用 来 实施 保护 和 查 杀 计算 机 中 的 间谍 软件 ， 
Windows 打开 时 会 自动 运行 。 使 用 反 间 谍 软 件 能 够 清除 间谍 软件 、 广 告 软件 .Rootkit、 间 谍 
记录 软件 和 一 些 其 他 形式 的 恶意 软件 ,实时 监控 恶意 软件 可 能 修改 的 操作 系统 区 域 ,如 启动 
文件 夹 和 Run 注册 表 键 值 。 但 Windows Defender 不 会 对 划分 为 蠕虫 或 病毒 的 程序 提供 安全 
防护 。 此 外 ,微软 MSE 套装 软件 中 已 包含 反 间 谍 功 能 ,车 启用 MSE 则 Defender 会 自动 停 用 。 

BitLocker 首次 出 现在 Windows Vista 中 时 ,只 能 对 主要 的 操作 系统 卷 进行 加 密 ， 
Windows Vista SP2 扩展 了 这 项 功能 的 应 用 范围 ,可 以 加 密 其 他 卷 , 如 主 硬盘 上 的 附加 驱动 
器 或 分 区 ,但 它 无 法 让 用 户 对 便携 式 磁盘 或 可 移动 磁盘 上 的 数据 加 密 。Windows 7 带 来 了 
BitLocker to Go, 不 但 可 以 保护 便携 式 驱动 器 上 的 数据 ,同时 为 与 合作 伙伴 、 客 户 或 其 他 用 
户 共享 数据 提供 了 一 种 保护 方式 。 

在 开始 使 用 BitLocker 驱动 器 加 密 功能 之 前 ,磁盘 卷 必须 经 过 合理 配置 。Windows 要 
有 一 个 未 经 加 密 的 小 容量 分 区 来 存放 核心 系统 文件 ,在 开启 引导 过 程 、 验 证 用 户 以 便 访问 加 
密 卷 需要 用 到 这 个 文件 。 大 多 数 用 户 在 最 初 建立 驱动 器 分 区 时 没有 考虑 这 一 点 ,为 此 微软 
开发 了 一 款 工具 ,可 以 转移 数据 ,重新 对 驱动 器 进行 分 区 ,以 便 为 BitLocker 加 密 做 好 准备 ， 
该 工具 可 以 从 微软 的 网 站 搜索 BitLocker 驱动 器 准备 工具 进行 下 载 。 驱 动 器 被 合理 分 区 
后 ,就 可 以 用 BitLocker 进行 驱动 器 加 密 。 图 8. 5 所 示 的 BitLocker 能 够 加 密 不 同类 型 的 驱 
动 器 ,一 类 是 能 用 BitLocker 加 密 的 硬盘 驱动 器 , 另 一 类 是 可 以 用 BitLocker 来 保护 的 可 移 
动 磁盘 驱动 器 。 





通过 对 驱动 器 进行 加 密 来 帮助 保护 您 的 文件 和 文件 夹 
BitLocker 驱动 吕 加 村 有 助 于 阻止 对 存储 在 下 面 显示 的 驱动 器 中 的 所 有 文件 进行 未 经 授权 的 访问 。 您 可 以 正 党 
使 用 计算 机 ， 但 未 授权 用 户 无 法 读 取 或 使 用 您 的 文件 - 
启用 BitLocker 至 动 器 加 密 之 前 必须 了 解 的 信息 ? 
BitLocker 驱动 器 加 密 - 硬盘 开动 器 
oC 轩 局 用 BitLocker 
> x 
_ Soft(D;) 轩 局 用 BitLocker 
关闭 
File (E;) 办 启用 BitLocker 
关闭 
_ Bank(F) 加 启用 BitLocker 
ss 术 条 
BitLocker 驱动 器 加 密 - BitLocker To Go 
_ KINGSTON 四 启用 BitLocker 
o> 2 














图 8.5 Windows 7 驱动 器 加 密 设 置 
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在 默认 情况 下 ,BitLocker 需要 可 信 平 台 模块 (TPM) 芯 片 来 存放 BitLocker 加 密 密 钥 ， 
同时 便于 对 BitLocker 保护 的 数据 进行 加 密 及 解密 。 由 于 很 多 台式 计算 机 和 笔记 本 电脑 没 
有 配备 TPM 芯片 ,微软 增加 了 没有 兼容 TPM 也 可 以 使 用 BitLocker 驱动 器 加 密 的 选项 。 
Windows 7 的 BitLocker to Go 可 以 支持 系统 管理 员 控 制 怎样 使 用 可 移动 介质 ,并 且 执 行 用 
来 保护 可 移动 驱动 器 上 数据 的 策略 ,通过 组 策略 (Group Policy) ,管理 员 就 能 把 没有 受 保护 
的 存储 介质 设置 成 只 读 ,要求 系 统 先 对 任何 可 移动 存储 介质 进行 BitLocker 加 密 , 然 后 用 户 
才能 把 数据 保存 到 上 面 。 

可 靠 的 恢复 方法 对 一 个 加 密 方案 来 说 非常 重要 ,BitLocker 提供 了 非常 可 靠 且 方便 的 恢 
复 手段 。 但 当 出 现 以 下 情况 时 , Windows 分 区 就 无 法 解密 : TPM 芯片 出 现 故 障 ; 硬盘 拆 印 
后 挂 接 到 其 他 计算 机 上 ; 启动 PIN 密码 被 遗忘 ; 启动 USB 密 钥 损坏 。 此 时 若 尝试 启动 计 
算 机 ,计算 机 会 被 锁定 ,提示 用 户 插 入 密 钥 存储 媒体 或 为 该 驱动 器 输入 恢复 密 钥 ,这 时 只 要 
插入 保存 有 恢复 密码 的 USB 存储 或 手动 输入 恢复 密码 ,计算 机 就 会 顺利 启动 。 

限制 服务 的 目的 在 于 防止 服务 修改 注册 表 、 访 问 系统 文件 ,如 果 一 个 系统 服务 需要 上 述 
的 功能 才能 正常 运行 , 它 也 可 以 被 设 定 成 只 能 访问 注册 表 或 系统 文件 的 特定 区 域 ,同时 也 可 
以 限制 服务 ,使 其 不 能 执行 系统 设置 的 更 改 或 其 他 可 能 导致 攻击 结果 的 行为 。 

3. 内 核 完整 性 保证 机 制 

内 核 完 整 性 保证 机 制 主要 包括 代码 完整 性 验证 ,强制 驱动 签名 和 PatchGuard 3 个 方 
面 ,其 中 PatchGuard 只 应 用 于 64 位 操作 系统 ,主要 在 系统 运行 过 程 中 动态 检查 关键 的 数据 
结构 和 内 核 代 码 的 完整 性 ,防止 非 授权 的 软件 修改 系统 内 核 ,可 以 阻止 对 进程 列表 等 核心 信 
息 的 恶意 修改 ,这 种 安全 保护 只 有 操作 系统 才能 实现 ,其 他 杀毒 软件 是 无 法 实现 的 。 巾 于 内 
核 完整 性 保证 机 制 限制 了 程序 对 内 核 的 修改 ,不 仅 使 得 恶意 代码 无 法 隐藏 踪迹 ,也 使 得 传统 
的 安全 防御 工具 无 法 应 用 ,因此 安全 机 构 和 系统 攻击 者 都 非常 重视 对 内 核 完整 性 保证 机 制 
的 研究 。 

代码 完整 性 验证 和 强制 驱动 签名 作为 两 种 静态 的 内 核 完整 性 保证 机 制 ,在 实现 上 均 以 
CL dll 形式 出 现 ,CI dll 开始 运行 于 系统 启动 的 过 程 中 。 系 统 启动 时 ,首先 BIOS 自 检 , 然 后 加 
载 启动 管理 程序 bootmgr, 完 成 之 后 开始 运行 系统 加 载 程 序 winload. exe, 最 后 才 是 系统 内 核 的 
加 载 进程 ,这 是 系统 启动 过 程 中 的 几 个 必需 阶段 。CL dll 就 是 在 bootmgr 和 winload. exe 阶段 
进行 加 载 的 ,在 内 核 加 载 阶段 只 是 对 CL dll 的 代码 完整 性 验证 函数 进行 调用 。 这 里 ,bootmgr 
是 启动 管理 程序 ,位 于 % systemDrive% \ bootmgr 文件 或 % systemDrive% \ Boot\ EFI\ 
bootmgr. efi 文件 中 。winload. exe 是 系统 的 装载 程序 , 即 OS Loader, 位 于 % systemRoot%\ 
System32\winload. exe 文件 中 。Winload. exe 代替 了 Windows 早期 版 本 中 的 NTLDR。 

Windows 对 代码 签名 进行 的 验证 主要 以 两 种 方式 进行 : 一 是 将 代码 的 签名 与 代码 分 离 
保存 ,将 代码 摘要 放 在 一 个 目录 文件 (catalog) 中 ,成 为 签名 目录 ; 二 是 在 程序 代码 中 保存 代 
码 的 签名 ,这 种 方法 在 系统 启动 早期 采用 较 多 。 这 两 种 方式 并 不 是 完全 独立 的 ,可 以 同时 应 
用 ,大 部 分 内 核 驱动 程序 的 完整 性 验证 都 同时 采用 了 这 两 种 签名 方式 。 加 载 启 动 驱动 程序 
时 的 驱动 签名 验证 由 winload. exe 完成 ,而 其 他 所 有 驱动 的 签名 验证 都 由 ntoskrnl. exe 完成 。 


8.3.5 Windows 7 安全 措施 
为 确保 Windows 7 在 使 用 过 程 中 的 系统 安全 , 除 积极 采用 上 述 安全 技术 和 安全 机 制 
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外 ,用 户 还 应 根据 使 用 环境 要 求 , 有 针对 性 地 做 好 安全 配置 和 系统 管理 工作 , 尽 可 能 地 提升 
系统 的 安全 性 能 。 下 面 介绍 一 些 常 用 的 Windows 7 安全 配置 措施 和 方法 。 

1. 设置 安全 密码 和 屏保 密码 

可 靠 的 密码 对 一 个 系统 来 说 十 分 重要 ,一 些 网 络 管理 员 创 建 账户 时 通常 使 用 公司 名 称 、 
计算 机 名 称 等 易于 猜测 的 字符 作为 用 户 名 ,然后 又 将 这 些 账户 的 密码 设置 得 比较 简单 ,甚至 
密码 与 用 户 名 相同 等 ,这 些 都 会 给 系统 带 来 严重 的 威胁 。 同 时 ,设置 屏幕 保护 密码 是 防止 内 
部 人 员 破 坏 系统 的 必要 手段 。 一 般 来 讲 , 可 以 在 BIOS 中 设置 开机 密码 ,将 屏幕 保护 启动 设 
为 5 分 钟 以 内 。 

2. 增加 管理 员 账户 和 禁用 Guest 用 户 

在 控制 面板 的 “用 户 账户 ”>“ 管 理 其 他 账户 ”>“ 创 建 一 个 新 账户 ”中 创建 一 个 标准 用 户 
或 管理 员 , 对 管理 员 及 其 他 用 户 设置 强 口令 ,并 禁用 Guest 用 户 。 

3. 注册 表 安 全 设置 

(1) 关机 时 清除 页 面 文件 。 

[HKEY_LOCRL_MRCHINEN SYSTEMN CurrentControlSet\Control\SessionManager\Memory Management]" 

ClearPagefileatShutdown" = dword:00000001 

(2) 关闭 DirectDraw 。 


[HKEY_LOCAL_ MACHINE \ SYSTEM\ CurrentControlSet \ Control \ GraphicsDrivers\DCI]" Timeout" = 
dword:00000000 


(3) 删除 默认 共享 。 


[ HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters ]" 
AutoShareWks" = dword:00000000 
"AutoShareServer" = dword:00000000 


(4) 禁止 建立 空 链接 。 


[ HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa ]" restrictanonymous" = 
dword:00000001 


(5) 不 让 系统 显示 上 次 登录 的 用 户 名 。 

[ HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ]" 

DontDisplayLastUserName" = "1" 

4. 关闭 不 必要 的 服务 

对 任何 的 系统 来 说 ,更 多 的 服务 意味 着 更 多 的 危险 。 因 此 ,只 保留 必需 的 服务 ,把 多 余 
的 服务 和 端口 关闭 对 于 系统 安全 来 说 是 十 分 重要 的 。 例 如 ,在 Windows 7 中 Offline Files 
( 脱 机 文件 服务 )、Server 服务 、Background Intelligent Transfer Service( 后 台 智 能 传输 服 
务 , 简 称 BITS) 等 ,这 些 都 有 产生 漏洞 的 可 能 。 

首先 备份 服务 列表 ,在 “管理 工具 ”中 打开 服务 列表 ,在 左 侧 “服务 (本 地 )” 上 右 击 ,在 弹 
出 的 快捷 菜单 中 选择 “导出 列表 ”命令 ,可 以 将 服务 列表 以 文本 文件 的 方式 保存 起 来 ,以 备 后 
续 查 找 。 


第 8 章 操作 系统 安全 217 





然后 在 服务 列表 中 对 有 关 服 务 进 行 手动 设置 ,如 图 8. 6 所 示 , 或 者 利用 sc config 命令 
进行 手动 设置 ,自动 将 对 应 的 服务 设置 成 “禁用 ”手动 ”或 “自动 ”运行 。sc config 命令 格 
式 为 : 

sc config 服务 名 称 start= 启动 方式 
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图 8.6 Windows 7 中 更 改 服务 状态 
5. 禁止 自动 播放 


如 果 使 用 光盘 或 U 盘 等 设备 引导 并 启动 Windows 7 系统 ,必须 禁用 这 些 设备 的 自动 播 
放 功 能 来 保护 系统 启动 安全 ,因为 autorun 病毒 很 容易 通过 U 盘 等 移动 存储 介质 进行 传 
播 ,只 有 禁止 自动 播放 功能 才能 有 效 避 免 autorun 病毒 通过 移动 存储 介质 干扰 Windows 7 
系统 的 启动 运行 。 

在 禁止 移动 存储 设备 自动 播放 时 ,只 要 先 打开 “运行 "窗口 ,执行 gpedit. msc 命令 ,切换 
到 本 地 组 策略 编辑 窗口 ,从 左 侧 列表 的 “本 地 计算 机 策略 "分支 下 ,逐一 展开 “计算 机 配置 ”一 
“管理 模板 ”>“Windows 组 件 ”>“ 自 动 播放 策略 ”选项 ,在 目标 选项 的 右 侧 列表 中 双击 “ 关 
闭 自动 播放 ”组 策略 ,从 打开 的 “关闭 自动 播放 ”窗口 中 ,选中 “已 启用 ” 单 选 按钮 ,同时 选中 
“关闭 自动 播放 ”下 拉 列 表 框 中 的 光盘 或 U 盘 , 并 单 击 “ 应 用 ”按钮 执行 设置 保存 操作 ,重新 
启动 Windows 系统 即 可 。 

另外 ,在 注册 表 的 HKEY_CURRENT _ USER \ Software\ Microsoft\ Windows\ 
CurrentVersion\Policies\Explorer 分 支 下 ,将 NoDriveTypeAutoRun 键 值 的 数值 设置 为 4， 
也 能 达到 同样 的 目的 。 


6. 及 时 安装 漏洞 补丁 


一 些 病毒 木马 程序 经 常会 利用 Windows 7 系统 的 漏洞 来 感染 系统 中 的 应 用 程序 。 因 
此 ,及 时 修补 系统 中 的 漏洞 ,可 以 在 一 定 程度 上 减少 病毒 木马 感染 系统 的 可 能 性 。 更 新 系统 


218 计算 机 信息 安全 技术 (第 2 版 ) 





漏洞 补丁 可 以 通过 单 击 控制 面板 窗口 中 的 Windows Update 图 标 , 进 入 系统 漏洞 补丁 检查 
更 新 界面 , 单 击 “检查 更 新 ”按钮 可 以 实现 及 时 修补 系统 的 漏洞 补丁 。 当 然 ,也 有 一 些 系统 漏 
洞 或 缺陷 还 没有 补丁 程序 进行 保护 ,这 时 就 只 能 采用 杀毒 软件 和 防火 墙 来 阻止 病毒 和 木马 
的 入 侵 。 

7. 禁止 运行 脚本 

很 多 病毒 和 木马 都 是 通过 网 页 中 的 活动 脚本 或 ActiveX 控件 将 启动 威胁 项 目 植 入 到 
Windows 系统 中 ,如 果 将 IE 浏览 器 的 脚本 执行 功能 禁用 ,就 能 有 效 地 避免 许多 不 必要 的 威 
胁 。 禁 用 这 项 功能 可 以 从 下 浏览 器 的 选项 中 实现 。 首 先 打开 IE 浏览 器 的 “Internet 选项 ” 
窗口 ,选择 “安全 ”选项 卡 , 单 击 “ 自 定义 级 别 " 按 钮 ,弹出 “安全 设置 "对 话 框 ,从 中 找到 “脚本 ” 
设置 项 ,将 下 面 的 “活动 脚本 >” 和”*Java 小 程序 脚本 ”都 设置 为 禁用 ,最 后 单 击 “ 确 定 ” 按 钮 保 
存 即 可 。 在 禁用 ActiveX 控件 时 ,只 要 找到 该 对 话 框 的 “ActiveX 控件 ”设置 项 ,将 下 面 所 有 
的 ActiveX 控件 运行 权限 全 部 设置 为 “禁用 ” 即 可 。 

8. 安装 反 病 毒 木马 软件 

对 用 户 而 言 ,威胁 通常 来 自 于 木马 .恶意 软 件 、 假 冒 的 病毒 扫描 程序 。 装 备 一 款 合 适 的 
杀毒 软件 是 十 分 必要 的 ,同时 经 常 检查 和 保持 杀毒 软件 的 更 新 ,从 而 有 效 防范 新 的 恶意 程序 
攻击 。 微 软 官方 平台 向 用 户 推荐 了 10 款 Windows 7 系统 中 适用 的 杀毒 软件 ,它们 是 AVG 、 
诺顿 ,卡巴 斯 基 、McAfee、 Trend Micro Panda Security、F-Secure、Webroot BullGuard、G-Data 
等 。 当 然 国 内 用 户 也 可 以 选择 安装 360 安全 卫士 .360 杀毒 软件 来 防范 病毒 和 木马 。 

9. 开通 BitLocker 

Windows 7 中 的 磁盘 加 密 位 元 锁 (BitLocker) 可 以 用 来 加 密 任 何 硬盘 上 的 信息 ,包括 启 
动 、 系 统 甚至 移动 媒体 ,使 用 鼠标 右键 就 可 以 在 选项 中 加 密 Windows 资源 管理 器 中 的 数据 。 
用 户 可 以 在 设置 菜单 中 选择 希望 加 锁 的 文件 ,被 加 密 的 文件 可 以 被 设置 为 只 读 , 且 不 能 被 重 
新 加 密 。 在 保存 好 BitLocker 信息 后 ,BitLocker 的 恢复 信息 存储 在 计算 机 的 属性 文件 中 ， 
大 多 数 情 况 下 自动 备份 的 用 户 密码 恢复 到 Active Directory。 所 以 要 确保 可 以 访问 这 些 属 
性 ,防止 丢失 密码 后 无 法 恢复 文件 。 

10. 设置 UAC 滑动 条 提升 安全 级 别 

Windows 7 的 用 户 账户 控制 得 到 较 大 的 改进 ,在 区 别 合 法 和 非法 程序 时 表现 得 十 分 准 
确 、 迅 速 。 根 据 用 户 的 登录 方式 (管理 员 或 普通 用 户 ) 默 认 UAC 安全 级 别 设置 ,可 以 选择 不 
同 敏 感度 的 防御 级 别 。 建 议 将 UAC 安全 级 别 设置 为 “始终 通知 ”。 

虽然 UAC 功能 提供 了 一 个 必要 的 防御 机 制 , 但 是 为 了 系统 的 稳定 性 ,请 谨慎 使 用 管理 
员 账 户 。 


习 题 8 


一 、 选 择 题 
Ue ¢ ) 是 Windows 2000/NT/2003 最 基本 的 入 侵 检测 方法 ,是 一 个 维护 系统 安全 性 
的 工具 。 
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A. 应 用 日 志 B. 事件 查看 器 
C. 开启 审核 策略 D. 入 侵 检测 系统 
2. Windows Server 2003 系统 的 安全 日 志 通 过 ( ) 设 置 。 
A. 事件 查看 器 B. 服务 管理 器 
C. 网 络 适配器 D. 本 地 安全 策略 
3. 用 户 匿名 登录 主机 时 ,用 户 名 为 ( hs 
A. guest B. anonymous 
C. administrator D. admin 
4. ( ) 不 是 Windows 的 系统 进程 。 
A. System Idle Process B. winlogon. exe 
C. explorer. exe D. svchost. exe 


5. Windows 使 用 Ctrl 十 Alt 十 Delete 组 合 键 启动 登录 信息 ,是 激活 了 下 列 ( ) 
进程 。 








A. System Idle Process B. winlogon. exe 
C. explorer. exe D. taskmgr. exe 
6. Windows Server 2003 中 删除 硬盘 D 的 默认 共享 命令 是 ( js 
A. net share d$ : B. del net share d$ : 
C. net share d$ /del D. net share /del d$ 
二 、 填空 题 
1. UNIX/Linux 系统 结构 由 、 和 3 个 层次 组 成 。 
2. 在 Windows 7 中 内 存 保护 模块 中 使 用 的 安全 技术 主要 有 
\ 数 据 执行 防护 (Data Execution Protection,DEP) .安全 推 管理 和 GS 栈 保护 等 。 
3. Windows 7 有 3 种 类 型 的 账户 , 即 来 宾 账 户 、 标 准 账户 和 5 
4. Linux 是 一 个 类 操作 系统 。 
三 、 简 答题 


1. 什么 是 安全 的 操作 系统 ? 

2. UNIX 主要 有 哪些 安全 机 制 ? 

3，Windows 7 系统 有 哪些 安全 机 制 ? 

4. UNIX/Linux 安全 设置 时 要 注意 哪些 事项 ? 
5. 如 何 关闭 Windows 中 不 必要 的 端口 和 服务 ? 
6. 请 简 述 操作 系统 隔离 控制 安全 有 哪些 措施 。 


第 9 章 数据 备份 与 恢复 技术 


在 以 信息 技术 为 基础 的 商业 时 代 , 对 大 多 数 计算 机 的 使 用 者 而 言 ,计算 机 系统 中 的 重要 
数据 、 档 案 或 历史 记录 ,无 论 是 对 企业 用 户 还 是 个 人 用 户 , 都 是 至 关 重 要 的 ,一 旦 不 慎 丢 失 ， 
轻 则 辛苦 积累 起 来 的 心血 付 之 东 流 ,严重 的 会 影响 企业 的 正常 运作 ,给 科研 .生产 造成 巨大 
的 损失 。 计 算 机 安全 专家 威廉 。 史 密斯 说 :“ 创 建 这 些 数据 也 许 只 花 了 10 万 元 ,但 当 你 在 
关键 时 刻 打算 把 它们 全 部 找 回 来 时 ,你 得 准备 100 万 元 的 支票 。 

为 了 保障 生产 、 销 售 、 开 发 的 正常 运行 ,企业 用 户 应 采取 有 效 的 措施 ,对 数据 进行 备份 ， 
防 患 于 未 然 。 导 致 数据 出 现 安全 问题 的 原因 很 多 ,如 网 络 攻击 、 硬 盘 物 理 损坏 、 数 据 人 逻辑 出 
错 、 各 种 恶意 破坏 和 误 操作 ,以 及 密码 丢失 无 法 打开 文档 等 。 为 了 避免 数据 安全 威胁 ,除了 
前 面 几 章 介绍 的 安全 技术 内 容 外 ,还 有 数据 备份 和 恢复 技术 。 数 据 备份 和 恢复 技术 就 是 如 
何 把 遭 到 破坏 和 丢失 的 数据 还 原 或 恢复 为 正常 的 和 可 用 的 数据 的 技术 。 


9.1 数据 备份 概述 


数据 备份 是 容 灾 的 基础 ,是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 
全 部 或 部 分 数据 集合 从 应 用 主机 的 硬盘 或 阵列 复制 到 其 他 存储 介质 的 过 程 。 传 统 的 数据 备 
份 主要 是 采用 内 置 或 外 置 的 磁带 机 进行 冷 备 份 。 但 是 这 种 方式 只 能 防止 操作 失误 等 人 为 故 
障 , 而 且 其 恢复 时 间 也 很 长 。 随 着 技术 的 不 断 发 展 ,数据 的 海量 增加 ,不 少 的 企业 开始 采用 
网 络 备份 。 网 络 备份 一 般 通 过 专业 的 数据 存储 管理 软件 结合 相应 的 硬件 和 存储 设备 来 

数据 备份 就 是 将 数据 以 某 种 方式 加 以 保留 ,以便 在 系统 需要 时 重新 恢复 和 利用 。 对 一 
个 完整 的 信息 安全 体系 来 说 ,数据 备份 工作 是 必 不 可 少 的 重要 组 成 部 分 。 其 作用 主要 体现 
在 以 下 两 个 方面 。 

(1) 在 数据 遭 到 意外 事件 破坏 时 ,通过 数据 恢复 还 原 数据 。 可 以 说 ,做 好 数据 备份 是 防 
止 数据 丢失 ,防止 系统 遭受 破坏 最 有 效 、 最 简单 的 手段 。 

(2) 数据 备份 是 历史 数据 存档 的 最 佳 方式 。 数 据 备份 为 用 户 进行 历史 数据 查询 、 统 计 
和 分 析 , 以 及 重要 信息 归档 保存 提供 了 可 能 。 

这 里 需要 了 解数 据 备份 技术 、 集 群 技术 与 容 灾 技术 的 区 别 。 虽 然 从 目的 上 讲 , 这 些 技术 
都 是 为 了 消除 或 减弱 意外 事件 给 系统 带 来 的 影响 ,但 由 于 其 侧重 点 不 同 , 实 现 的 手段 和 产生 
的 效果 也 不 尽 相 同 。 

备份 技术 的 目的 是 将 整个 系统 的 数据 或 状态 保存 下 来 ,这 种 方式 不 仅 可 以 挽回 硬件 设 
备 损坏 带 来 的 损失 ,也 可 以 挽回 逻辑 错误 和 人 为 恶意 破坏 造成 的 损失 。 数 据 备 份 更 多 是 指 
数据 从 在 线 状态 剥离 到 离线 状态 的 过 程 。 然 而 一 般 来 说 ,数据 备份 技术 并 不 保证 系统 的 实 
时 可 用 性 。 也 就 是 一 旦 发 生意 外 ,备份 技术 只 保证 数据 可 以 恢复 ,但 恢复 过 程 需要 一 定时 
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间 , 在 恢复 过 程 中 ,系统 是 不 可 用 的 。 
集群 和 容 灾 技 术 的 目的 是 为 了 保证 系统 的 实时 可 用 性 ,是 保护 系统 的 在 线 状态 ,保证 数 
据 可 以 随时 被 访问 , 即 当 突 发 事件 和 故障 发 生 时 ,系统 提供 的 服务 和 功能 不 会 因此 而 中 断 。 
在 具有 一 定 规模 的 系统 中 ,备份 技术 、 集 群 技 术 和 容 灾 技术 不 能 相互 蔡 代 ,同时 采用 这 
些 技术 ,并 使 其 稳定 、 和 谐 地 协调 工作 是 确保 系统 安全 运转 最 有 效 的 策略 。 


9.1.1 数据 备份 及 其 相关 概念 


数据 备份 是 指 将 计算 机 磁盘 上 的 原始 数据 复制 到 可 移动 存储 介质 上 ,如 磁带 .光盘 等 。 
在 出 现 数据 丢失 或 系统 灾难 时 将 复制 在 可 移动 存储 介质 上 的 数据 恢复 到 磁盘 上 ,从 而 保护 
计算 机 的 系统 数据 和 应 用 数据 。 在 日 常生 活 中 ,人 们 不 自觉 地 都 在 使 用 备份 。 例 如 , 房 门 钥 
匙 怕 丢 失 , 总 要 配 一 把 备用 ; 银行 卡 密码 记 在 脑子 里 怕 遗 忘 ,总 是 写 下 来 记 到 本 子 里 。 其 实 
备份 的 概念 说 起 来 很 简单 ,就 是 保留 一 套 后 备 系 统 。 这 套 后 备 系 统 或 者 与 现 有 系统 一 模 一 
样 ,或 者 能 够 替代 现 有 系统 的 功能 。 

与 备份 对 应 的 概念 是 恢复 ,恢复 是 备份 的 逆 过 程 。 在 发 生 数 据 失效 时 ,计算 机 系统 无 法 
使 用 ,但 因为 保存 了 一 套 备份 数据 ,利用 恢复 措施 就 能 很 快 地 将 损坏 的 数据 重新 建立 起 来 。 

为 了 便于 理解 ,下 面 介绍 一 些 与 备份 有 关 的 概念 。 

(1) 在 线 备份 : 对 正在 运行 的 数据 库 或 应 用 进行 备份 ,通常 对 打开 的 数据 库 和 应 用 是 
禁止 备份 的 ,因此 要 求 数据 存储 管理 软件 能 够 对 在 线 的 数据 库 和 应 用 进行 备份 。 

(2) 离线 备份 : 在 数据 库 或 应 用 关闭 后 对 其 数据 进行 备份 ,离线 备份 通常 只 采用 完全 
备份 。 

(3) 热 备份 : 热 备份 实际 上 是 计算 机 容错 技术 的 一 个 概念 ,是 实现 计算 机 系统 高 可 用 
性 的 主要 方式 ,避免 因 单 点 故障 (如 磁盘 损伤 ) 导 致 整个 计算 机 系统 无 法 运行 ,从 而 实现 计算 
机 系统 的 高 可 用 性 。 最 典型 的 实现 方式 是 双 机 热 备 , 即 双 机 容错 。 该 技术 的 最 新 发 展 是 采 
用 多 机 热 备份 , 即 cluster 的 概念 ,多 机 相互 镜像 ,负载 均衡 ,并 能 自动 诊断 系统 故障 ,失效 切 
换 , 使 一 些 对 实时 性 要 求 很 高 的 业务 得 以 保障 。 然 而 , 热 备 份 方式 并 不 能 解决 像 操作 人 员 失 
误 造 成 的 数据 丢失 这 样 的 问题 ,因为 热 备 份 系统 为 保证 数据 的 一 致 性 ,会 同时 将 这 个 数据 的 
镜像 文件 删除 。 

(4) 数据 恢复 : 是 指数 据 备份 的 逆 过 程 , 就 是 利用 保存 的 备份 数据 还 原 出 原始 数据 的 
过 程 。 

(5) 数据 存储 管理 : 是 指 对 计算 机 系统 数据 存储 相关 的 一 系列 操作 (如 备份 .归档 和 恢 
复 ) 进 行 的 统一 管理 ,是 计算 机 系统 管理 的 一 个 重要 组 成 部 分 。 对 于 一 个 完备 的 计算 机 系统 
来 说 ,数据 存储 管理 是 十 分 必要 的 。 

(6) 数据 归档 : 是 将 磁盘 数据 复制 到 可 移动 存储 介质 上 。 与 数据 备份 不 同 的 是 ,数据 
归档 在 完成 复制 工作 后 将 原始 数据 从 磁盘 上 删除 ,释放 磁盘 空间 。 数 据 归档 一 般 是 对 年 度 
或 某 一 项 目 相关 的 数据 进行 操作 ,在 一 年 结束 或 某 一 项 目 完 成 时 ,将 其 相关 数据 迁移 到 可 移 
动 存储 介质 上 ,以 备 日 后 查询 和 统计 ,同时 释放 宝贵 的 磁盘 空间 。 


9.1.2 备份 的 误区 
对 计算 机 系统 进行 全 面 的 备份 ,并 不 只 是 复制 文件 那么 简单 ,一 个 完整 的 备份 方案 应 包 
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括 硬件 备份 .软件 备份 .日 常备 份 制度 (Backup Routines) 和 灾难 恢复 制度 (Disaster 
Recovery Plan,DRP)4 个 部 分 。 人 们 对 备份 存在 着 很 多 误区 ,具体 体现 在 以 下 几 个 方面 。 

(1) 用 人 工 操作 进行 简单 的 数据 备份 来 代替 专业 备份 工具 的 完整 解决 方案 。 采 用 人 工 
操作 的 方法 操作 数据 备份 , 带 来 了 许多 管理 和 数据 安全 方面 的 问题 ,如 人 工 操作 将 人 的 下 忽 
因素 引入 ,备份 管理 人 员 的 更 换 交 接 不 清 可 能 造成 备份 数据 的 混乱 ,造成 恢复 时 的 错误 ,人 
工 操作 恢复 使 恢复 可 能 不 完全 且 恢 复 的 时 间 无 法 保证 ,也 可 能 造成 重要 的 数据 备份 遗漏 ,无 
法 保证 数据 恢复 的 准确 和 高 效率 。 

(2) 忽视 数据 备份 介质 管理 的 统一 通用 性 。 忽 视 数据 备份 介质 的 统一 通用 性 会 造成 恢复 时 
由 于 介质 不 统一 的 问题 ,包括 磁带 或 光盘 的 标识 命名 混乱 ,也 给 恢复 工作 带 来 不 必要 的 麻烦 。 

(3) 用 硬件 元 余 容 错 设备 代替 对 系统 的 全 面 数据 备份 。 这 种 做 法 完全 与 数据 备份 的 宗 
旨 相 悖 ,在 管理 上 有 巨大 的 漏洞 且 很 不 完善 。 用 户 应 该 认识 到 任何 程度 的 硬件 元 余 都 无 法 
百 分 百 地 保证 单 点 的 数据 安全 性 ,磁盘 阵列 (RAID) 技 术 不 能 ,镜像 技术 也 不 能 ,甚至 双 机 
备份 也 无 法 蔡 代数 据 备份 。 

(4) 忽视 数据 异地 备份 的 重要 性 。 数 据 异 地 备份 在 客户 计算 机 应 用 系统 遭遇 单 点 突 发 
事件 或 自然 灾害 时 非常 有 效 和 重要 。 

(5) 使 用 用 户 应 用 数据 备份 替代 系统 完全 备份 。 这 种 错误 会 极 大 地 影响 恢复 时 的 时 间 
和 效率 ,而 且 可 能 由 于 系统 无 法 恢复 到 原 有 程度 而 造成 应 用 无 法 恢复 ,数据 也 无 法 再 次 使 
用 。 而 且 还 会 因为 客户 不 能 真正 了 解 应 用 数据 存放 的 位 置 而 使 用 户 应 用 数据 备份 不 完整 ， 
造成 数据 恢复 时 出 现 问题 。 

(6) 忽视 制订 完整 的 备份 和 恢复 计划 ,以 及 维护 计划 并 测试 的 重要 性 。 忽 视 制 订 测试 、 
维护 数据 备份 和 恢复 计划 会 造成 实施 上 的 无 章 可 循 和 混乱 。 


9.1.3 数据 备份 策略 


备份 策略 是 指 确定 需 备 份 的 内 容 、 备 份 时 间 及 备份 方式 。 选 择 了 存储 备份 软件 .存储 备 
份 技术 (包括 存储 备份 硬件 及 存储 备份 介质 ) 后 ,首先 需要 确定 数据 备份 的 策略 。 各 个 单位 要 
根据 自己 的 实际 情况 来 制定 不 同 的 备份 策略 。 目 前 被 采用 最 多 的 备份 策略 主要 有 以 下 3 种 。 

1. 完全 备份 (Full Backup) 

每 次 对 系统 中 的 所 有 数据 都 进行 备份 。 例 如 ,星期 一 用 磁带 对 整个 系统 进行 备份 ,星期 
二 再 用 另 一 盘 磁 带 对 整个 系统 进行 备份 ,以 此 类 推 。 这 种 备份 策略 的 好 处 是 当 发 生 数 据 丢 
失 的 灾难 时 ,只 要 用 一 盘 磁 带 ( 即 灾难 发 生前 一 天 的 备份 磁带 ) 就 可 以 恢复 丢失 的 数据 。 然 
而 它 也 有 不 足 之 处 。 首 先 ,由 于 每 天 都 对 整个 系统 进行 完全 备份 ,造成 备份 的 数据 大 量 重 
复 。 这 些 重复 的 数据 占用 了 大 量 的 磁带 空间 ,这 对 用 户 来 说 意味 着 增加 了 成 本 。 其 次 ,由 于 
需要 备份 的 数据 量 较 大 ,因此 备份 所 需 的 时 间 较 长 。 对 于 那些 业务 繁忙 ,备份 时 间 有 限 的 单 
位 来 说 ,选择 这 种 备份 策略 是 不 明智 的 。 

2. 增 量 备份 (Incremental Backup) 


只 备份 上 次 备份 以 后 有 变化 数据 的 备份 方式 称 为 增 量 备份 。 例 如 ,星期 天 进行 一 次 完 
全 备份 ,然后 在 接 下 来 的 6 天 里 只 对 当天 新 增 的 或 被 修改 过 的 数据 进行 备份 。 这 种 备份 策 
略 的 优点 是 节省 了 磁带 空间 ,缩短 了 备份 时 间 。 但 它 的 缺点 在 于 , 当 灾难 发 生 时 ,数据 的 恢 
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复 比 较 麻 烦 。 例 如 ,系统 在 星期 三 的 早晨 发 生 故 障 ,丢失 了 大 量 的 数据 ,那么 现在 就 要 将 系 
统 恢复 到 星期 二 晚上 时 的 状态 。 这 时 系统 管理 员 首先 要 找 出 星期 天 的 那 盘 完 全 备份 磁带 进 
行 系统 恢复 ,然后 再 找 出 星期 一 的 磁带 来 恢复 星期 一 的 数据 ,最 后 找 出 星期 二 的 磁带 来 恢复 
星期 二 的 数据 。 很 明显 ,这 种 方式 很 烦琐 。 另 外 ,这 种 备份 的 可 靠 性 也 很 差 。 在 这 种 备份 方 
式 下 ,各 盘 磁 带 间 的 关系 就 像 链 条 一 样 ,一 环 套 一 环 , 其 中 任何 一 盘 磁 带 出 现 问题 都 会 导致 
整 条 链条 脱节 。 例 如 ,在 上 例 中 , 若 星期 二 的 磁带 出 了 故障 ,那么 管理 员 最 多 只 能 将 系统 恢 
复 到 星期 一 晚上 时 的 状态 。 
3. 差分 备份 (Differential Backup) 


只 备份 上 次 完全 备份 以 后 有 变化 的 数据 的 备份 方式 称 为 差分 备份 。 例 如 ,管理 员 先 在 
星期 天 进行 一 次 系统 完全 备份 ,然后 在 接 下 来 的 几 天 里 ,管理 员 将 当天 所 有 与 星期 天 不 同 的 
数据 (新 增 的 或 修改 过 的 ) 备 份 到 磁带 上 。 差 分 备份 策略 在 避免 了 以 上 两 种 策略 的 缺陷 的 同 
时 ,又 具有 了 它们 的 所 有 优点 。 首 先 , 它 无 须 每 天 都 对 系统 做 完全 备份 ,因此 备份 所 需 时 间 
短 ,并 节省 了 磁带 空间 ; 其 次 , 它 的 灾难 恢复 也 很 方便 。 系 统管 理 员 只 需 两 盘 磁 带 , 即 星期 
一 的 磁带 与 灾难 发 生前 一 天 的 磁带 ,就 可 以 将 系统 恢复 到 最 近 的 状态 。 

完全 备份 所 需 时 间 最 长 ,但 恢复 时 间 最 短 ,操作 最 方便 , 当 系统 中 的 数据 量 不 大 时 ,采用 
完全 备份 最 可 靠 ; 但 随 着 数据 量 的 不 断 增 大 ,将 无 法 每 天 做 完全 备份 ,而 只 能 在 周末 进行 完 
全 备份 ,其 他 时 间 采 用 耗 时 更 少 的 增 量 备份 或 介 于 两 者 之 间 的 差分 备份 。 因 此 ,在 实际 应 用 
中 ,备份 策略 通常 是 以 上 3 种 方式 的 组 合 。 例 如 ,每 周一 至 周 六 进行 一 次 增 量 备份 或 差分 备 
份 , 每 周 日 进行 完全 备份 ,每 月 底 进 行 一 次 完全 备份 ,每 年 底 进 行 一 次 完全 备份 。 

备份 过 程 中 要 求 保 存 长 期 的 历史 数据 ,这 些 数 据 不 可 能 保存 在 同一 盘 磁 带 上 ,每 天 都 使 
用 新 的 磁带 备份 也 是 不 可 能 的 ,如 何 灵 活 使 用 备份 方法 ,有 效 分 配 磁带 ,用 较 少 的 磁带 有 效 
地 备份 长 期 数据 ,是 备份 制度 要 解决 的 问题 。 

磁带 轮换 策略 有 以 下 几 种 。 

(1) 三 带 轮换 策略 。 三 带 轮 换 策略 只 需要 3 盘 磁 带 。 用 户 每 星期 都 用 一 盘 磁 带 对 整个 
网 络 系统 进行 增 量 备份 。 备 份 过 程 如 表 9. 1 所 示 。 

表 9.1 三 带 轮换 策略 
周一 周二 周三 周 四 周 五 周 六 周 日 
周 磁带 1, 增 量 
周 磁带 2, 增 量 
周 磁带 3, 增 量 





























这 种 策略 可 以 保存 系统 3 个 星期 内 的 数据 ,适用 于 数据 量 小 、 变 化 速度 较 慢 的 网 络 环 
境 。 但 这 种 策略 有 一 个 明显 的 缺陷 ,就 是 周一 到 周 四 更 新 的 数据 没有 得 到 有 效 的 保护 。 如 
果 周 四 的 时 候 系统 发 生 故 障 ,就 只 能 用 上 周 五 的 备份 恢复 数据 ,那么 周一 到 周 四 的 工作 就 丢 
失 了 。 

(2) 六 带 轮换 策略 。 六 带 轮 换 策 略 需要 6 盘 磁 带 。 用 户 从 星期 一 到 星期 四 的 每 天 都 分 
别 使 用 一 盘 磁 带 进 行 增 量 备份 ,然后 星期 五 使 用 第 五 盘 磁 带 进行 完全 备份 。 第 二 个 星期 的 
星期 一 到 星期 四 重复 使 用 第 一 个 星期 的 4 盘 磁 带 , 到 了 第 二 个 星期 五 使 用 第 六 盘 磁带 进行 
完全 备份 。 备 份 过 程 如 表 9. 2 所 示 。 
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表 9.2 六 带 轮 换 策略 
周一 周二 周三 周 四 周 五 周 
第 一 周 “| 磁带 1 增 量 | 磁带 2 增 量 | 磁带 3 增 量 | 磁带 4 增 量 | 磁带 5, 完 全 
第 二 周 “| 磁带 1 增 量 | 磁带 2 增 量 | 磁带 3 增 量 | 磁带 4 增 量 | 磁带 6, 完全 


周 日 


站 





























这 种 轮换 策略 能 够 备份 两 周 的 数据 。 如 果 本 周三 系统 出 现 故 障 ,只 需 上 周 五 的 完全 备 
份 加 上 周一 和 上 周二 的 增 量 备份 就 可 以 恢复 系统 。 但 这 种 策略 无 法 保存 长 期 的 历史 数据 ， 
两 周 前 的 数据 就 无 法 保存 了 。 

(3) 祖 - 父 - 子 轮换 策略 。 祖 - 父 - 子 (Grandfather-Father-Son,GFS) 轮 换 策略 将 六 带 轮换 
策略 扩展 到 一 个 月 以 上 ,这 种 策略 由 三 级 备份 组 成 : 日 备份 、 周 备份 和 月 备份 。 日 备份 为 增 
量 备份 , 周 备份 和 月 备份 为 完全 备份 。 日 带 共 4 盘 , 用 于 周一 到 周 四 的 增 量 备 份 ,每 周 轮 换 
使 用 ; 周 带 一 般 不 少 于 4 盘 , 顺 序 轮 换 使 用 ; 月 带 数量 视 情 况 而 定 , 用 于 每 月 最 后 一 次 完全 
备份 ,备份 后 将 数据 存档 保存 。 备 份 过程 如 表 9. 3 所 示 。 

表 9.3 祖 - 父 - 子 轮换 策略 
周一 周二 周三 周 四 周 五 周 
日 带 1 增 量 | 日 带 2 增 量 | 日 带 3 增 量 | 日 带 4 增 量 | 周 带 1, 完 全 
日 带 1 增 量 | 日 带 2 增 量 | 日 带 3 增 量 | 日 带 4 增 量 | 周 带 2, 完 全 


日 带 1 增 量 | 日 带 2 增 量 | 日 带 3 增 量 | 日 带 4 增 量 | 周 带 x, 完 全 
日 带 1 增 量 | 日 带 2 增 量 | 日 带 3 增 量 | 日 带 4 增 量 | 周 带 1, 完 全 


周 日 


+ 





| 
































1 
斑 | 弄 | 列 | 甬 


巨 


根据 周 带 和 月 带 数量 不 同 ,常见 的 祖 - 父 - 子 轮换 策略 有 21 盘 制 .20 盘 制 和 15 盘 制 等 。 


9.1.4 日 常 维护 有 关 问 题 


备份 系统 安装 调试 结束 后 ,日 常 维 护 包含 两 方面 工作 , 即 硬件 维护 和 软件 维护 。 如 果 硬 
件 设备 具有 很 好 的 可 靠 性 ,系统 正常 运行 后 基本 不 需要 经 常 维护 。 一 般 来 说 ,磁带 库 的 易 损 
部 件 是 磁带 驱动 器 , 当 出 现 备 份 读 写 错误 时 应 首先 检查 驱动 器 的 工作 状态 。 如 果 发 生意 外 
断 电 等 情况 ,系统 重新 启动 运行 后 ,应 检查 设备 与 软件 的 连接 是 否 正常 。 软 件 系统 工作 过 程 
检测 到 的 软 硬 件 错误 和 警告 信息 都 有 明显 的 提示 和 日 志 信息 ,可 以 通过 电子 邮件 的 方式 发 
送 给 管理 员 。 管 理 员 也 可 以 利用 远程 管理 的 功能 ,全 面 监控 备份 系统 的 运行 情况 。 

网 络 数据 备份 系统 的 建立 ,对 保障 系统 的 安全 运行 ,保障 各 种 系统 故障 的 及 时 排除 和 数据 
库 系 统 的 及 时 恢复 起 到 关键 作用 。 通 过 自动 化 带 库 及 集中 的 运行 管理 ,保证 数据 备份 的 质量 ， 
加 强 数据 备份 的 安全 管理 。 同 时 , 近 线 磁带 库 技术 的 引进 ,无 疑 对 数据 的 恢复 和 利用 提供 了 更 
加 方便 的 手段 。 希 望 更 多 的 单位 能 够 更 快 地 引进 这 些 技 术 , 让 系统 管理 员 做 到 数据 无 忧 。 


9.2 系统 数据 备份 


系统 数据 备份 主要 是 针对 计算 机 系统 中 的 操作 系统 、 设 备 驱 动 程序 、 系 统 应 用 软件 及 常 
用 软件 工具 等 的 备份 。 
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9.2.1 系统 还 原 卡 


系统 还 原 卡 是 系统 备份 的 一 种 常用 方式 ,以 其 方便 性 、 安 全 性 受到 很 多 管理 人 员 的 
青睐 。 还 原 卡 也 称 为 硬盘 保护 卡 , 在 学 校 机 房 、 网 吧 、 计 算 机 培训 中 心 等 场合 使 用 较 多 。 
它 可 以 在 硬盘 非 物理 损坏 的 情况 下 ,让 硬盘 系统 数据 恢复 到 预先 设置 的 状态 。 也 就 是 
说 ,在 系统 受到 病毒 \ 故 意 破坏 硬盘 数据 、 误 删除 等 操作 时 ,能 轻易 地 使 用 系统 还 原 卡 还 
原 系统 。 

还 原 卡 的 基本 原理 是 在 系统 启动 时 ,首先 接管 BIOS 的 INT13 中 断 , 将 FAT、 引 导 区 、 
CMOS 信息 .中 断 向 量 表 等 信息 都 保存 到 卡 内 的 临时 存储 单元 中 ,用 自 带 的 中 断 向 量 表 来 
代替 原始 的 中 断 向 量 表 ; 再 将 FAT 等 信息 保存 到 临时 存储 单元 中 作为 第 二 个 备份 ,用 来 应 
付 系统 运行 时 对 硬盘 数据 所 做 的 修改 ; 最 后 在 硬盘 上 辟 出 一 部 分 连续 空间 ,将 当前 系统 操 
作 的 数据 保存 在 这 部 分 空间 中 。 

当 用 户 向 硬盘 写 和 数据 时 ,数据 并 没有 真正 修改 到 硬盘 中 的 FAT 表 。 由 于 保护 卡 接 
管 了 INT13, 当 发 现 写 操作 时 , 便 将 原先 的 数据 目的 地 址 重新 指向 预先 准备 的 连续 磁盘 空 
间 ,并 将 已 备份 的 第 二 个 FAT 中 被 修改 的 相关 数据 指向 这 片 空间 。 当 要 读 取 数 据 时 ,保护 
卡 首先 在 第 二 个 备份 的 FAT 中 查找 相关 文件 。 如 果 是 在 启动 后 修改 过 的 , 便 在 重新 定向 
的 空间 中 读 取 ,否则 就 在 第 一 个 备份 的 FAT 中 查找 ,并 读 取 相关 文件 。 删 除 时 就 是 将 文件 
的 FAT 记录 从 第 二 个 备份 的 FAT 中 删除 。 

在 安装 还 原 卡 之 前 ,要 确保 系统 中 没有 病毒 ,关闭 杀毒 软件 的 实时 防毒 功能 ,关闭 或 印 
载 各 种 系统 防护 /恢复 软件 的 功能 。 

实际 上 ,现在 的 还 原 卡 大 多 集成 在 10MB/100MB 网 卡 中 ,实现 了 网 络 还 原 功能 。 利 用 
网 络 还 原 卡 可 以 在 完全 无 人 值守 的 条 件 下 定时 自动 维护 ; 提供 全 天 候 的 机 房 维护 和 管理 ; 
可 以 让 计算 机 进行 远程 控制 ; 能 以 发 送 端 机 器 的 设置 为 基础 ,自动 顺序 生成 并 设置 每 台 接 
收 机 的 IP 地 址 、 计 算 机 名 称 、 用 户 名 。 


9.2.2 克隆 大 师 Ghost 


克隆 大 师 Norton Ghost 是 最 著名 的 硬盘 备份 工具 ,对 现 有 的 操作 系统 都 有 很 好 的 支 
持 , 包 括 DOS、Windows、Linux 和 UNIX 等 操作 系统 。Ghost 也 支持 大 多 数 存 储 介 质 和 常 
用 接口 ,如 支持 对 等 LPT 接口 .对 等 USB 接口 .对 等 TCP/IP 接口 .SCSI 磁带 机 、 便 携 式 设 
备 、 光 盘 刻录 机 等 。 

Ghost 不 仅 具 有 单机 硬盘 备份 与 恢复 功能 .还 支持 在 网 络 环境 中 的 硬盘 备份 与 恢复 。 
用 户 可 以 实现 在 局 域 网 、 对 等 网 内 同时 进行 多 台 计 算 机 硬盘 克隆 操作 ,能 快速 实现 为 网 内 所 
有 计算 机 安装 操作 系统 和 应 用 程序 。 

Ghost 可 以 将 一 个 硬盘 中 的 数据 完全 相同 地 复制 到 另 一 个 硬盘 中 , 它 还 提供 硬盘 备份 、 
硬盘 分 区 等 功能 。 可 以 在 DOS 或 Windows 下 直接 运行 Ghost. exe 文件 。Norton Ghost 的 
主 界面 如 图 9.1 所 示 。 

Norton Ghost 能 够 实现 的 功能 包括 硬盘 备份 .硬盘 恢复 、 硬 盘 复 制 . 分 区 复制 .分 区 备 
份 . 分 区 恢复 等 功能 ,具体 内 容 请 参考 Norton Ghost 软件 。 
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图 9.1 Norton Ghost 系统 主 界面 


9.2.3 其 他 备份 方法 


1. Linux 中 的 Tar 备份 工具 

Linux 系统 上 配 有 功能 强大 的 tar 命令 ,可 以 灵活 地 备份 数据 。tar 最 初 是 为 了 制作 磁 
带 备份 而 设计 的 ,把 文件 和 目录 备份 到 磁带 中 ,然后 从 磁带 中 提取 或 恢复 文件 。 当 然 ,现在 
可 以 使 用 tar 来 备份 数据 到 任何 存储 介质 上 。tar 非常 易于 使 用 ,稳定 可 靠 ,而 且 在 任何 
Linux 系统 上 都 有 这 个 工具 软件 ,因此 是 经 常 使 用 的 备份 工具 之 一 。 

使 用 tar 命令 备份 数据 的 格式 如 下 : 

$ tar cvf backup. tar /home/html 


上 述 命 令 是 将 /home/html 目录 下 的 所 有 文件 打包 成 tar 文件 backup. tar。 

cvf 是 tar 的 命令 参数 。c 代表 创建 一 个 档案 文件 ,v 代表 显示 每 个 备份 的 文件 名 称 ,f 
表示 tar 创建 的 档案 文件 名 是 后 面 的 backup. tar,/home/html 代表 tar 要 备份 的 文件 和 目 
录 名 。 

使 用 tar 命令 恢复 数据 的 格式 如 下 : 

$ tar xvf backup. tar 

上 述 命 令 将 备份 文件 backup. tar 恢复 到 当前 目录 下 。 


通常 情况 下 ,tar 对 文件 进行 备份 的 时 候 并 不 对 文件 进行 压缩 ,因此 备份 文件 的 尺寸 非 
常 大 。 


2. Windows 系统 中 的 备份 功能 
在 Windows 系统 中 也 提供 了 相应 的 备份 功能 。 通 过 选择 “控制 面板 ”>“ 系 统 和 安全 ”一 
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“备份 和 还 原 ” 命 令 ,可 以 启动 备份 与 还 原 向 导 , 对 系统 中 的 数据 进行 备份 。Windows 中 的 
备份 工具 具有 备份 向 导 、 还 原 向 导 和 紧急 磁盘 修复 等 功能 。 


9.3 ”用 户 数据 备份 


用 户 数 据 备份 是 针对 具体 应 用 程序 和 用 户 产生 的 数据 ,将 用 户 的 重要 数据 与 操作 系统 
数据 分 别 进行 存储 备份 。 在 实际 应 用 中 ,用 户 数据 备份 的 重要 性 远 远 大 于 系统 数据 备份 , 因 
为 系统 数据 丢失 以 后 通常 都 是 可 以 恢复 的 ,如 操作 系统 损坏 可 以 通过 光盘 重新 安装 。 而 用 
户 数据 丢失 以 后 ,一 般 都 是 难以 弥补 的 ,最 简单 的 例子 就 是 自己 辛 辛 苦 苦 输 入 的 Word 文 
档 , 一 不 小 心 被 删除 以 后 ,恢复 起 来 十 分 困难 。 

通过 手工 备份 用 户 数据 是 十 分 麻烦 的 ,而 且 容 易 遗 忘 ,特别 是 每 天 都 要 备份 大 量 数据 的 
时 候 。 一 般 应 用 程序 都 有 用 户 数据 的 备份 功能 。 另 外 ,通过 专用 的 软件 也 可 以 实现 对 用 
户 数据 的 实时 备份 功能 ,如 Second Copy 和 File Genie 等 ,下 面 简单 介绍 这 两 个 软件 的 
使 用 。 


9.3.1 Second Copy 


Second Copy 是 一 个 使 用 方便 ,功能 强大 的 备份 工具 。 它 可 以 实现 定时 备份 .同时 对 多 
个 文件 对 象 执行 备份 .可 自 定义 备份 文件 类 型 ,支持 复制 .移动 .压缩 .同步 等 多 种 备份 功能 。 
现在 最 新 的 版 本 是 Second Copy 8.0, 其 界面 如 图 9.2 所 示 。 


了 本 
| Ele Edt Vew Ioos Hep 
1 遂 -X 吨 |m 二 [本 看 |@ -Bi 
( alprofies ) | 
国 My Profie 








li profie(s) |Next: My Profile >>> 18:18 £ 


图 9.2 ”Second Copy 8.0 主 窗口 


(1) 新 建 或 修改 一 个 备份 方案 。 执 行 File>New Profile 命令 就 会 启动 新 建 方案 向 导 窗 
口 。 在 该 窗口 中 选择 “快速 设置 (Express Setup) ”或 “ 自 定义 设置 (Custom Setup)” 选 项 ,这 
里 采用 自 定义 设置 。 

(2) 选择 要 备份 的 文件 和 文件 夹 。 单 击 Next 按钮 ,浏览 或 输入 要 备份 的 文件 夹 ,软件 
会 询问 需要 备份 的 内 容 , 是 备份 文件 夹 下 面 的 所 有 文件 (All files and folders) 还 是 只 备份 其 
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中 的 部 分 文件 (Only selected files and folders)。 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 文件 过 滤 框 
中 有 两 个 文本 框 选项 “包含 文件 "和 “排除 文件 ”, 通 过 选择 对 应 的 文件 夹 , 可 以 达到 有 选择 地 
对 部 分 文件 夹 进行 备份 ,具体 如 图 9. 3 所 示 。 


Second Copy Profile Wizard: New Profile 


@ Only selected fles and folders 
Indude specifications (Fies to be considered for copying) 








图 9.3 备份 文件 夹 过 滤 


(3) 选择 备份 的 文件 或 文件 夹 的 存放 位 置 。 单 击 “ 下 一 步 ” 按 钮 ,会 提示 用 户 选 择 目标 
文件 夹 (Destination Folder) ,目标 文件 夹 一 定 要 选择 一 个 稳定 的 存储 介质 ,也 可 以 备份 到 网 
络 服务 器 上 面 , 以 提高 数据 的 安全 性 。 

(4) 选择 备份 时 间 。 单 击 * 下 一 步 ? 按 钮 ,软件 会 询问 用 户 备份 的 频率 ,可 以 选择 手动 备 
份 ,每 隔 几 小 时 、 每 天 备份 等 方式 ,如 图 9.4 所 示 。 


Second Copy Profile Wizard: New Profile EF| 


Start | what? | which fies? | where? when? | 























rnat 
Every few hours 了 厂 sartup 
厂 shutdown 
人 net thesedays | 
runon 
@r pn 
友 加 天 
一 厂 昌明 二 
厂 星期 三 
pe、 厂 星期 四 
Fe -至 
na 厂 
ww | Ce ee | 





9.4 备份 时 间 方 式 选择 


(5) 备份 方式 的 选择 。 单 击 “ 下 一 步 ” 按 钮 ,进入 选择 备份 方式 窗口 ,这 里 提供 了 6 种 备 
份 方式 。 

Q@ 简单 复制 (Simple Copy) : 直接 将 文件 从 原文 件 夹 复 制 到 目标 文件 夹 。 

@ 精确 复制 (Exact Copy) : 与 简单 复制 类 似 ,但 如 果 以 前 备份 过 的 文件 在 源 文件 中 已 
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经 删除 , 则 将 目标 文件 夹 中 的 相应 文件 也 删除 ,并 在 另 一 个 备份 文件 夹 中 将 该 文件 保存 。 注 
意 ,这 里 至 少 要 保留 一 个 版 本 给 删除 的 文件 。 

@ 移动 (Move) : 将 文件 从 原文 件 夹 移动 到 目标 文件 夹 。 

@ 压缩 (Compress): 备份 时 采用 压缩 的 方式 存储 。 

@ 精确 压缩 (Exact Compress) : 与 精确 复制 类 似 ,只 是 备份 时 采用 压缩 方式 存储 。 

@ 同步 (Synchronize) : 让 两 个 文件 夹 中 完全 保持 一 致 。 


9.3.2 File Genie 2000 


File Genie 2000 是 一 款 可 以 运行 在 Windows 2000/XP 环境 下 的 文档 备份 工具 。 与 常 
用 的 备份 工具 不 同 , 它 是 一 个 在 线 监 测 程序 。 该 软件 驻 留 系统 后 能 自动 监测 文件 的 变化 , 包 
括 文件 保存 、 复 制 等 操作 ,然后 在 后 台 自动 进行 文件 备份 。 在 文件 完成 保存 后 ,程序 的 备份 
也 自动 更 新 ,这 样 可 以 保证 备份 文件 总 是 最 新 的 ,这 就 在 最 大 程度 上 保证 了 备份 操作 的 可 靠 
性 和 安全 性 。 

此 外 ,该 工具 也 提供 了 手动 备份 ,恢复 文件 .多 策略 备份 等 功能 。 需 要 注意 的 是 ,如 果 用 
户 设置 使 用 多 个 备份 策略 文件 ,由 于 File Genie 2000 只 能 同时 使 用 一 个 备份 策略 设置 ,为 
保证 备份 的 有 效 和 安全 ,在 进行 备份 文件 操作 前 ,应 该 用 Select Profile 命令 将 当前 的 策略 
文件 切换 到 当前 操作 的 备份 设置 上 ,否则 不 能 进行 文件 备份 监测 。 


9.4 网 络 数据 备份 


网 络 数据 备份 是 一 套 比较 成 熟 的 备份 方案 ,其 基本 设计 思想 是 利用 一 台 服 务 器 连接 合 
适 的 备份 设备 ,实现 对 整个 网 络 系统 各 主机 上 关键 业务 数据 的 自动 备份 管理 。 在 有 些 特殊 
环境 中 ,也 可 以 在 网 络 上 数据 量 比较 大 的 几 个 服务 器 上 同时 安装 备份 设备 ,由 备份 服务 器 统 
一 管理 。 通 过 合理 的 设备 连接 可 以 减少 数据 备份 时 对 网 络 产生 的 过 重负 载 。 数 据 备份 设备 
一 般 都 采用 磁带 存储 设备 ,包括 磁带 机 和 磁带 库 。 在 部 门 级 和 企业 级 数据 备份 系统 中 一 般 
都 采用 磁带 库 ,实现 自动 备份 操作 。 磁 带 库 是 由 多 台 磁 带 驱动 器 (内 置 磁带 机 )、 一 个 或 两 个 
机 械 手 ,以 及 数 十 或 数 百 个 磁带 槽 组 成 的 大 型 存储 设备 ,主要 用 于 大 数据 量 文件 的 备份 . 归 
档 等 应 用 。 磁 带 库 的 性 能 主要 取决 于 其 内 置 的 磁带 驱动 器 。 

备份 对 经 常 使 用 计算 机 的 人 来 说 并 不 陌生 ,每 个 人 都 有 可 能 做 过 一 些 重要 文档 的 备份 。 
如 果 只 是 管理 一 台 计 算 机 ,那么 备份 工作 看 起 来 比较 简单 。 但 如 果 管 理 的 是 多 台 计算 机 或 
一 个 网 段 ,甚至 整个 企业 的 时 候 ,备份 就 会 变 成 一 件 非常 复杂 的 事情 。 

通常 ,网 络 备份 系统 一 般 由 3 个 部 分 组 成 , 即 目标 工具 和 存储 。 目 标 就 是 需要 做 备份 
或 恢复 的 系统 ,一 个 完整 的 备份 系统 在 目标 系统 中 都 要 运行 一 个 备份 客户 程序 ,允许 备份 客 
户 程序 对 目标 远程 进行 文件 操作 。 工 具 的 主要 功能 是 执行 备份 或 恢复 的 任务 ,工具 提供 一 
个 集中 管理 和 控制 平台 。 存 储 就 是 备份 数据 被 保存 的 地 方 。 工 具 和 存储 可 以 在 同一 台 计 算 
机 中 ,也 可 以 在 不 同 的 计算 机 中 。 

网 络 备份 系统 能 够 完成 两 个 任务 , 即 备份 任务 和 恢复 任务 。 备 份 任务 就 是 用 工具 将 目 
标 备份 到 存储 区 中 。 与 备份 任务 相反 的 是 恢复 任务 , 即 用 工具 将 备份 在 存储 区 的 数据 恢复 
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到 目标 中 。 

目前 最 常见 的 网 络 数据 备份 系统 按 其 架构 不 同 可 以 分 为 4 种 : 基于 网 络 附加 存储 
(DAS-Based) 结 构 .基于 局 域 网 (LAN-Based) 结 构 、 基 于 SAN 结构 的 LAN-Free 和 Server- 
Free 结构 。 下 面 对 这 几 种 结构 的 备份 系统 做 具体 介绍 。 


9.4.1 DAS-Based 结构 


基于 网 络 附加 存储 系统 的 备份 系统 是 一 种 最 简单 的 数据 保护 方案 。 在 大 多 数 情况 下 ， 
这 种 备份 采用 服务 器 上 自 带 的 磁带 机 或 备份 硬盘 ,而 备份 操作 往往 也 是 通过 手工 操作 的 方 
式 进 行 ,如 图 9.5 所 示 ,虚线 表示 数据 流 。 

客户 机 客户 机 DAS-Based 备份 结构 适合 以 下 的 应 用 环境 。 
(1) 无 须 支 持 关 键 性 的 在 线 业 务 操作 。 
(2) 维护 少量 网 络 服务 器 (小 于 5 个 )。 
(3) 支持 单一 操作 系统 。 

(4) 需要 简单 和 有 效 的 管理 。 

(5) 适用 于 每 周 或 每 天 一 次 的 备份 频率 。 

基于 DAS 的 备份 系统 是 最 简单 的 数据 备份 方 
案 , 适 用 于 小 型 企业 用 户 进 行 简单 的 文档 备份 。 它 
的 优点 是 维护 简单 ,数据 传输 速度 快 ; 缺点 是 可 管 
理 的 存储 设备 少 ,不 利于 备份 系统 的 共享 ,不 太 适 合 现在 大 型 的 数据 备份 要 求 ,而 且 不 能 提 
供 实 时 的 备份 需求 。 


9.4.2 LAN-Based 结构 
LAN-Based 备份 结构 是 小 型 办 公 环 境 最 常 使 用 的 备份 结构 。 如 图 9. 6 所 示 ,在 该 系统 


中 数据 的 传输 是 以 局 域 网 络 为 基础 。 首 先 预 先 应 用 服务 器 应 用 服务 器 


配置 一 台 服务 器 作为 备份 管理 服务 器 , 它 负责 
整个 系统 的 备份 操作 。 磁 带 库 则 接 在 某 台 服务 3 
LAN BD 















DAS 
备份 服务 器 


图 9.5 DAS-Based 备份 结构 





器 上 , 当 需 要 备份 数据 时 ,备份 对 象 把 数据 通过 (人 








网 络 传输 到 磁带 库 中 实现 备份 。 
备份 服务 器 可 以 直接 接 入 主 局 域 网 内 或 放 。 应用 服务 器 备份 服务 器 
在 专用 的 备份 局 域 网 内 。 推 荐 使 用 放 在 专用 的 [E33 
备份 局 域 网 内 方案 。 因 为 采用 前 者 方案 当 备份 
数据 量 很 大 的 时 候 ,备份 数据 会 占用 很 大 的 网 
络 带 宽 , 主 局 域 网 的 性 能 会 出 现 很 大 的 下 降 , 而 
后 者 就 可 以 使 备份 进程 与 普通 工作 进程 的 相互 图 9.6 LAN-Based 备份 结构 


干扰 减少 ,保证 主 局 域 网 的 正常 工作 性 能 。 

LAN-Based 备份 结构 的 优点 是 投资 经 济 、 磁 带 库 共享 、 集 中 备份 管理 ; 它 的 缺点 是 对 
网 络 传输 压力 大 , 当 备 份 数 据 量 大 或 备份 频率 高 时 ,局 域 网 的 性 能 下 降 快 ,不 适合 重 载 荷 的 
网 络 应 用 环境 。 
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9.4.3 LAN-Free 备份 方式 


为 了 彻底 解决 传统 备份 方式 需要 占用 LAN 带宽 问题 ,基于 SAN 的 备份 是 一 种 很 好 的 
技术 方案 。LAN-Free 和 Server-Free 的 备份 系统 是 建立 在 SAN( 存 储 区 域 网 ) 的 基础 上 的 
两 种 具有 代表 性 的 解决 方案 。 它 们 采用 一 种 全 新 的 体系 结构 ,将 磁带 库 和 磁盘 阵列 各 自作 
为 独立 的 光纤 节点 。 多 台 主 机 共享 磁带 库 备份 时 ,数据 流 不 再 经 过 网 络 而 直接 从 磁盘 阵列 
传 到 磁带 库 内 ,是 一 种 无 须 占用 网 络 带宽 的 解决 方案 。 

如 图 9.7 所 示 ,LAN-Free 是 指数 据 无 须 通过 局 域 网 而 直接 进行 备份 , 即 用 户 只 需 将 磁 
带 机 或 磁带 库 等 备份 设备 连接 到 SAN 中 ,各 服务 器 就 可 以 把 需要 备份 的 数据 直接 发 送 到 
共享 的 备份 设备 上 ,不 必 再 经 过 局 域 网 链 路 。 巾 于 服务 器 到 共享 存储 设备 的 大 量 数据 传输 
是 通过 SAN 网 络 进行 的 ,局 域 网 只 承担 各 服务 器 之 间 的 通信 任务 ,而 无 须 承担 数据 传输 的 
任务 ,实现 了 控制 流 和 数据 流 分 离 的 目的 。 
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图 9.7 LAN-Free 备份 结构 


目前 ,LAN-Free 有 多 种 实施 方式 。 通 常 ,用 户 需 要 为 每 台 服 务 器 配备 光纤 通道 适 配 
器 ,适配器 负责 把 这 些 服务 器 连接 到 与 一 台 或 多 台 磁 带 机 (或 磁带 库 ) 相 连 的 SAN 上。 同 
时 ,还 需要 为 服务 器 配备 特定 的 管理 软件 ,通过 它 , 系 统 能 够 把 块 格式 的 数据 从 服务 器 内 存 
经 SAN 传输 到 磁带 机 或 磁带 库 中 。 还 有 一 种 常用 的 LAN-Free 实施 方法 ,在 这 种 结构 中 ， 
主 备份 服务 器 上 的 管理 软件 可 以 启动 其 他 服务 器 的 数据 备份 操作 。 块 格式 的 数据 从 磁盘 阵 
列 通过 SAN 传输 到 临时 存储 数据 的 备份 服务 器 的 内 存 中 ,之 后 再 经 SAN 传输 到 磁带 机 或 
磁带 库 中 。 

尽管 LAN-Free 技术 与 LAN-Base 技术 相 比 有 很 多 优点 ,但 LAN-Free 技术 也 存在 明 
显 不 足 。 首 先 , 它 仍然 需要 服务 器 参与 将 备份 数据 从 一 个 存储 设备 转移 到 另 一 个 存储 设备 
的 过 程 , 在 一 定 程 度 上 占用 了 服务 器 宝贵 的 CPU 处 理 时 间 和 服务 器 内 存 。 另 外 ,LAN-Free 
技术 的 恢复 能 力 一 般 , 它 非常 依赖 于 用 户 的 应 用 。 

许多 产品 并 不 支持 文件 级 或 目录 级 恢复 ,整体 的 映像 级 恢复 就 变 得 较为 常见 。 映 像 级 
恢复 就 是 把 整个 映像 从 磁带 复制 到 磁盘 上 ,如 果 需 要 快速 恢复 系统 中 的 某 些 少量 文件 ,整个 
操作 将 变 得 非常 麻烦 。 此 外 ,不 同 厂商 实施 的 LAN-Free 机 制 各 不 相同 ,这 还 会 导致 备份 过 
程 所 需 的 系统 之 间 出 现 兼容 性 问题 。LAN-Free 的 实施 比较 复杂 ,而且 往 往 需要 大 笔 软 、 硬 
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综合 来 看 ,LAN-Free 的 优点 是 数据 备份 统一 管理 、 备 份 速度 快 、 网 络 传输 压力 小 、 磁 带 
库 资源 共享 ; 缺点 是 少量 文件 恢复 操作 烦琐 ,并 且 技 术 实 施 复杂 ,投资 较 高 。 


9.4.4 Server-Free 备份 方式 


另外 一 种 减少 对 系统 资源 消耗 的 办 法 是 采用 无 服务 器 (Serverless) 备 份 技术 。 它 是 
LAN-Free 的 一 种 延伸 ,可 使 数据 能 够 在 SAN 结构 中 的 两 个 存储 设备 之 间 直 接 传输 ,通常 
是 在 磁盘 阵列 和 磁带 库 之 间 。 如 图 9. 8 所 示 ,这 种 方案 的 主要 优点 之 一 是 不 需要 在 服务 器 
中 缓存 数据 ,显著 减少 对 主机 CPU 的 占用 ,提高 操作 系统 工作 效率 ,帮助 企业 完成 更 多 的 
工作 。 
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图 9.8 Server-Free 备份 结构 

与 LAN-Free 一 样 , 无 服务 器 备份 也 有 几 种 实施 方式 。 通 常情 况 下 ,备份 数据 通过 名 称 
为 数据 移动 器 的 设备 从 磁盘 阵列 传输 到 磁带 库 上 。 该 设备 可 能 是 光纤 通道 交换 机 、 存 储 路 
由 器 ,智能 磁带 或 磁盘 设备 ,也 可 能 是 服务 器 。 数 据 移动 器 执行 的 命令 其 实 是 把 数据 从 一 
存储 设备 传输 到 另 一 个 设备 。 实 施 这 个 过 程 的 一 种 方法 是 借助 于 SCSI-3 的 扩展 复制 命令 ， 
它 使 服务 器 能 够 发 送 命令 给 存储 设备 ,指示 后 者 把 数据 直接 传输 到 另 一 个 设备 ,不 必 通 过 服 
务 器 内 存 。 数 据 移动 器 收 到 扩展 复制 命令 后 ,执行 相应 功能 。 

另 一 种 实施 方法 就 是 利用 网 络 数 据 管 理 协议 (NDMP)。 这 种 协议 实际 上 为 服务 器 、 备 
份 和 恢复 应 用 及 备份 设备 等 部 件 之 间 的 通信 充当 一 种 接口 。 在 实施 过 程 中 , NDMP 把 命令 
从 服务 器 传输 到 备份 应 用 中 ,而 与 NDMP 兼容 的 备份 软件 会 开始 实际 的 数据 传输 工作 , 且 
数据 的 传输 并 不 通过 服务 器 内 存 。NDMP 的 目的 在 于 方便 异 构 环 境 下 的 备份 和 恢复 过 程 ， 
并 增强 不 同 厂 商 的 备份 和 恢复 管理 软件 及 存储 硬件 之 间 的 兼容 性 。 

无 服务 器 备份 与 LAN-Free 备份 有 着 诸多 相似 的 优点 。 如 果 是 无 服务 器 备份 , 源 设 备 、 
目的 设备 及 SAN 设备 是 数据 通道 的 主要 部 件 。 虽 然 服 务 器 仍然 需要 参与 备份 过 程 ,但 负 
担 已 大 大 减轻 ,因为 它 的 作用 基本 上 类 似 交通 警察 ,只 用 于 指挥 ,不 用 于 装载 和 运输 ,不 是 主 
要 的 备份 数据 通道 。 

无 服务 器 备份 技术 具有 缩短 备份 及 恢复 所 用 时 间 的 优点 。 因 为 备份 过 程 在 专用 高 速 存 
储 网 络 上 进行 ,而 且 决 定 吞 吐 量 的 是 存储 设备 的 速度 ,而 不 是 服务 器 的 处 理 能 力 ,所 以 系统 
性 能 将 大 为 提升 。 此 外 ,如 果 采 用 无 服务 器 备份 技术 ,数据 可 以 数据 流 的 形式 传输 给 多 个 磁 
带 库 或 磁盘 阵列 。 
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至 于 缺点 ,虽然 服务 器 的 负担 大 为 减轻 ,但 仍 需要 备份 应 用 软件 (以 及 其 主机 服务 器 ) 来 
控制 备份 过 程 。 元 数据 必须 记录 在 备份 软件 的 数据 库 上 ,这 仍 需要 占用 CPU 资源 。 与 
LAN-Free 备份 一 样 ,无 服务 器 备份 可 能 会 导致 上 面 提 到 的 同样 类 型 的 兼容 性 问题 。 而 且 ， 
无 服务 器 备份 可 能 难度 大 、 成 本 高 。 最 后 ,如 果 无 服务 器 备份 的 应 用 要 更 广泛 ,恢复 功能 方 
面 还 有 待 更 大 的 改进 。 

综合 来 看 ,Server-Free 备份 的 优点 是 数据 备份 和 恢复 时 间 短 ,网络 传输 压力 小 ,便于 统 
一 管理 和 备份 资源 共享 ; 其 缺点 是 需要 特定 的 备份 应 用 软件 进行 管理 ,厂商 的 类 型 兼容 性 
问题 需要 统一 ,并 且 实 施 起 来 与 LAN-Free 备份 一 样 比较 复杂 ,成 本 也 较 高 ,适用 于 大 中 型 
企业 进行 海量 数据 备份 管理 。 

前 面 提 到 的 4 种 主流 网 络 数据 备份 系统 结构 有 各 自 的 优点 和 缺点 ,用 户 需要 根据 自己 
的 实际 需求 和 投资 预算 仔细 其 酌 ,选择 适合 自己 的 备份 方案 。 





9.5 数据 恢复 


数据 恢复 就 是 把 遭 到 破坏 、 删 除 和 修改 的 数据 还 原 为 可 使 用 数据 的 过 程 。 对 计算 机 应 
用 系统 来 说 ,数据 可 以 分 为 系统 数据 和 用 户 数据 两 大 类 。 对 于 系统 数据 ,由 于 变化 很 小 , 具 
有 通用 性 ,恢复 起 来 相对 比较 容易 ,一般 不 会 造成 灾难 性 后 果 。 而 对 于 用 户 数据 ,有 时 是 无 
法 用 金钱 来 衡量 的 ,因此 对 用 户 数 据 恢复 有 着 更 重要 的 意义 。 


9.5.1 数据 的 恢复 原理 


软件 恢复 是 指 通过 软件 进行 数据 修复 ,整个 过 程 并 不 涉及 硬件 维修 。 而 导致 数据 丢失 
的 原因 往往 是 病毒 感染 、 误 格式 化 、 误 分 区 、 误 克隆 、. 误 删除 .操作 断 电 等 。 

软件 类 故障 的 特点 为 : 无 法 进入 操作 系统 文件 无 法 读 取 文件 无 法 被 关联 的 应 用 程序 
打开 、 文 件 丢失 、 分 区 丢失 乱码 显示 等 。 

造成 软件 类 数据 丢失 的 原因 十 分 复杂 ,每 种 情况 都 有 特定 的 症状 出 现 ,或 者 多 种 症状 同 
时 出 现 。 以 最 普通 的 删除 操作 为 例 ,实际 上 此 时 保存 在 硬盘 中 的 文件 并 没有 被 完全 覆盖 掉 ， 
通过 一 些 特定 的 软件 和 方法 ,能够 按照 主 引 导 区 、 分 区 .DBR FAT, 最 后 文件 实体 恢复 的 顺 
序 来 解决 。 

当然 ,也 应 客观 地 承认 ,尽管 软件 类 数据 恢复 有 很 多 细节 性 的 技巧 和 难以 简单 表达 的 经 
验 , 但 是 也 的 确 存 在 现 有 软件 恢复 技术 无 能 为 力 的 情况 。 如 果 硬 盘 中 的 数据 被 完全 覆盖 或 
多 次 被 部 分 覆盖 ,很 可 能 使 用 任何 软件 都 无 法 修复 。 至 于 业内 谣传 的 美国 部 分 专业 数据 恢 
复 服 务 商 能 够 在 数据 7 次 被 彻底 覆盖 的 情况 下 顺利 地 恢复 数据 ,这 种 说 法 也 未 经 考证 ,而且 
从 存储 原理 的 角度 来 看 ,其 可 能 性 并 不 大 ,否则 硬盘 岂 不 是 可 以 轻松 扩容 7 倍 ? 

要 想 恢复 数据 ,就 必须 首先 了 解 硬盘 的 存储 结构 ,以 便 在 恢复 数据 时 做 到 心中 有 数 。 

1. 硬盘 分 区 

硬盘 存放 数据 的 基本 单位 为 扇 区 ,可 以 理解 为 一 本 书 的 一 页 。 当 装机 或 买 来 一 个 移动 
硬盘 时 ,第 一 步 便 是 为 了 方便 管理 而 分 区 。 无 论 用 哪 种 分 区 工具 ,都 会 在 硬盘 的 第 一 个 肩 区 
标注 上 硬盘 的 分 区 数量 、 每 个 分 区 的 大 小 、 起 始 位 置 等 信息 ,术语 称 为 主 引导 记录 (MBR)， 
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也 称 为 分 区 信息 表 。 当 主 引导 记录 因为 各 种 原因 (硬盘 坏 道 、. 病 毒 . 误 操 作 等 ) 被 破坏 后 ,一 
些 或 全 部 分 区 信息 就 会 丢失 ,根据 数据 信息 特征 ,可 以 重新 推算 计算 分 区 大 小 及 位 置 ,手工 
标注 到 分 区 信息 表 ,“ 丢 失 ” 的 分 区 就 找 回 来 了 。 
使 用 硬盘 前 ,需要 将 它 分 区 、 格 式 化 ,然后 再 安装 上 操作 系统 。 在 这 一 过 程 中 ,要 将 硬盘 
分 成 主 引导 区 (MBR) ,操作 系统 引导 记录 区 (DBR)、FAT 表 、DIR 目录 区 和 Data 数据 区 五 
部 分 ,如 图 9.9 所 示 。 
0 磁道 1 柱 面 1 扁 区 DBR(Disk Boot Record, 操 作 系 统 引 导 区 ) 通 
常 位 于 硬盘 的 0 磁道 1 柱 面 1 扇 区 ,是 操作 系统 可 











5 以 直接 访问 的 第 一 个 肩 区 , 它 包括 一 个 引导 程序 和 
M | D 网 二 Data 一 个 被 称 为 BPB(Bios Parameter Block) 的 分 区 参 
RT | 数 记录 表 。 引 导 程序 的 主要 任务 是 当 MBR 将 系统 

如 控制 权 交 给 它 时 ,判断 本 分 区 根 目录 前 两 个 文件 是 




















不 是 操作 系统 的 引导 文件 。 如 果 确 定 存 在 ,就 把 它 
0 磁道 0 柱 面 1 肩 区 读 入 内 存 , 并 把 控制 权 交 给 该 文件 。BPB 参数 块 记 
图 9.9 硬盘 存储 的 5 个 部 分 录 着 本 分 区 的 起 始 扇 区 结束 扇 区 文件 存储 格式 、 
硬盘 介质 描述 符 、 根 目录 大 小 FAT 个 数 ,分 配 单元 
的 大 小 等 重要 参数 。DBR 是 由 高 级 格式 化 程序 (如 Format. com 等 程序 ) 所 产生 的 。 
FAT(File Allocation Table, 即 文件 分 配 表 ) 是 操作 系统 的 文件 寻 址 系统 。 为 了 防止 意 
外 损坏 ,FAT 一 般 做 两 个 (也 可 以 设置 为 一 个 ) ,第 二 个 FAT 为 第 一 个 FAT 的 备份 。 同 一 
个 文件 的 数据 并 不 一 定 完整 地 存放 在 磁盘 的 一 个 连续 的 区 域内 ,而 往往 会 分 成 若干 段 , 像 一 
条 链子 一 样 存放 。 由 于 硬盘 上 保存 着 段 与 段 之 间 的 连接 信息 ,操作 系统 在 读 取 文件 时 总 是 
能 够 准确 地 找到 各 段 的 位 置 并 正确 读 出 。 在 FAT 区 之 后 便 是 目录 区 与 数据 区 ,其 中 目录 
区 起 到 定位 的 作用 ,而 数据 区 则 是 真正 存储 数据 的 地 方 。 
MBR(Main Boot Record) 位 于 整个 硬盘 的 0 磁道 0 柱 面 1 扇 区 ,如 图 9. 10 所 示 。 不 
过 ,在 总 共 512 字 节 的 主 引导 扇 区 中 ,MBR 只 占用 了 其 中 的 446 个 字 节 ,另外 的 64 个 字 节 
交 给 了 DPT(Disk Partition Table, 硬 盘 分 区 表 ) ,最 后 两 个 字 节 “55AA” 是 分 区 的 结束 标 
志 , 其 整体 构成 了 硬盘 的 主 引 导 扇 区 。 
主 引导 记录 中 包含 了 硬盘 的 一 系列 参数 和 一 段 引导 程序 。 其 中 硬盘 引导 程序 的 主要 作 
用 是 检查 分 区 表 是 否 正 确 , 并 且 在 系统 硬件 完成 自 检 以 后 引导 具有 激活 标志 的 分 区 上 的 操 
作 系 统 ,并 将 控制 权 交 给 启动 程序 。MBR 是 由 分 区 程序 (如 Fdisk. exe) 产 生 的 , 它 不 依赖 于 
任何 操作 系统 ,而 且 硬 盘 引 导 程序 也 是 可 以 改变 的 ,从 而 实现 多 系统 共存 。 
注意 : MBR 不 属于 任何 一 个 操作 系统 ,也 不 能 用 操作 系统 提供 的 磁盘 操作 命令 来 读 取 
它 ,但 可 以 通过 命令 来 修改 和 重 写 , 如 在 minix3 里 面 ,可 以 用 命令 installboot -m /dev/c0d0/ 
usr/mdec/masterboot 把 masterboot 这 个 小 程序 写 到 mbr 里 ,masterboot 通常 用 汇编 语言 
来 编写 。 也 可 以 用 ROM-BIOS 中 提供 的 INT13H 的 2 号 功能 来 读 出 该 扇 区 的 内 容 , 还 可 
用 软件 工具 Norton8.0 中 的 DISKEDIT. EXE 来 读 取 。 
一 个 扇 区 的 硬盘 主 引 导 记 录 MBR 由 4 个 部 分 组 成 。 
(1) 主 引 导 程 序 : 偏 移 地 址 0000H 一 0088H ,负责 从 活动 分 区 中 装载 ,并 运行 系统 引导 
程序 。 
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(2) 出 错 信息 数据 区 : 偏 移 地 址 0089H 一 00E1H 为 出 错 信息 ,00E2H~01BDH 为 0 
字 节 。 
(3) 分 区 表 : 含 4 个 分 区 项 , 偏 移 地 址 01BEH~01FDH ,每 个 分 区 表 项 长 16 个 字 节 , 共 
64 字 节 为 分 区 项 1、 分 区 项 2、 分 区 项 3、 分 区 项 4。 

(4) 结束 标志 字 : 偏 移 地 址 01FE~~01FF 的 2 个 字 节 值 为 结束 标志 55AA ,如 果 该 标志 
错误 ,系统 就 不 能 启动 。 





























主 引导 记录 
446B 引导 装载 区 
2 分 区 1 
a 分 区 2 
64B 分 区 表 分 区 3 
2B| 魔 数 Se 分 区 4 











图 9.10 MBR 示意 图 


2. 文件 分 配 表 

为 了 管理 文件 存储 ,硬盘 分 区 完毕 接 下 来 的 工作 是 格式 化 分 区 。 格 式 化 程序 根据 分 区 
大 小 ,合理 地 将 分 区 划分 为 目录 文件 分 配 区 和 数据 区 ,就 像 我 们 看 的 小 说 ,前 几 页 为 章节 目 
录 , 后 面 才 是 真正 的 内 容 。 文 件 分 配 表 记 录 着 每 一 个 文件 的 属性 、 大 小 及 在 数据 区 的 位 置 。 
系统 管理 员 对 所 有 文件 的 操作 都 是 根据 文件 分 配 表 进 行 的 。 文 件 分 配 表 遭 到 破坏 以 后 , 系 
统 无 法 定位 到 文件 ,虽然 每 个 文件 的 真实 内 容 还 存放 在 数据 区 ,系统 仍然 会 认为 文件 已 经 不 
存在 了 。 

3. 文件 删除 与 格式 化 

当 向 硬盘 里 存放 文件 时 ,系统 首先 会 在 文件 分 配 表 内 写 上 文件 名 称 、 大 小 ,并 根据 数据 
区 的 空闲 情况 在 文件 分 配 表 上 写 上 文件 内 容 在 数据 区 的 起 始 位 置 。 然 后 开始 向 数据 区 写 文 
件 的 实际 数据 ,一 个 文件 存放 操作 才 算 完毕 。 

删除 操作 却 很 简单 , 当 删 除 一 个 文件 时 ,系统 只 是 在 文件 分 配 表 内 ,在 该 文件 前 面 作 一 个 
删除 标志 ,表示 该 文件 已 被 删除 , 它 所 占用 的 空间 已 被 “释放 ”, 其 他 文件 可 以 使 用 它 原 来 所 占 
用 的 空间 。 所 以 , 当 删 除 文件 又 想 找 回 它 (数据 恢复 ) 时 ,只 需 用 工具 将 删除 标志 去 掉 , 数 据 便 
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被 恢复 回来 了 。 当 然 , 前 提 是 没有 新 的 数据 写 入 ,该 文件 所 占用 的 空间 没有 被 新 内 容 覆 盖 。 

格式 化 操作 和 删除 相似 ,都 只 是 操作 文件 分 配 表 ,不 过 格式 化 是 将 所 有 文件 都 加 上 删除 
标志 ,或 者 干脆 将 文件 分 配 表 清 空 ,系统 将 认为 硬盘 分 区 上 不 存在 任何 内 容 。 格 式 化 操作 并 
没有 对 数据 区 做 任何 操作 ,目录 空 了 ,内 容 还 在 ,借助 数据 恢复 知识 和 相应 工具 ,数据 仍然 能 
够 被 恢复 回来 。 

注意 : 格式 化 并 不 是 100% 能 恢复 ,有 的 情况 磁盘 打 不 开 , 需 要 格式 化 才能 打开 。 如 果 
数据 重要 , 千 万 别 尝试 格式 化 后 再 恢复 ,因为 格式 化 本 身 就 是 对 磁盘 写 入 的 过 程 ,只 会 破坏 
残留 的 信息 。 

4. 理解 覆盖 

数据 恢复 工程 师 常 说 :“ 只 要 数据 没有 被 覆盖 ,数据 就 有 可 能 恢复 回来 。 

因为 磁盘 的 存储 特性 , 当 不 需要 硬盘 上 的 数据 时 ,数据 并 没有 被 扔 掉 。 删 除 时 系统 只 是 
在 文件 上 写 一 个 删除 标志 ,格式 化 和 低级 格式 化 也 是 在 磁盘 上 重新 覆盖 写 一 遍 以 数字 0 为 
内 容 的 数据 ,这 就 是 覆盖 。 

一 个 文件 被 标记 上 删除 标志 后 , 它 所 占用 的 空间 在 有 新 文件 写 入 时 ,将 有 可 能 被 新 文件 
占用 覆盖 写 上 新 内 容 。 这 时 删除 的 文件 名 虽然 还 在 ,但 它 指 向 数据 区 的 空间 内 容 已 经 被 覆 
盖 , 恢 复出 来 的 将 是 错误 异常 内 容 。 同 样 ,文件 分 配 表 内 有 删除 标记 的 文件 信息 所 占用 的 空 
间 也 有 可 能 被 新 文件 名 的 文件 信息 所 占用 ,文件 名 也 将 不 存在 了 。 

当 一 个 分 区 被 格式 化 后 ,如 果 又 复制 上 新 内 容 , 新 数据 只 是 覆盖 掉 分 区 前 部 分 空间 ,去 
掉 新 内 容 占 用 的 空间 ,该 分 区 剩余 空间 数据 区 上 无 序 内 容 仍然 有 可 能 被 重新 组 织 ,将 数据 恢 
复出 来 。 

同 理 ,一 键 恢复 .系统 还 原 等 造成 的 数据 丢失 ,只 要 新 数据 占用 空间 小 于 破坏 前 空间 容 
量 , 数 据 恢 复工 程 师 就 有 可 能 恢复 需要 的 分 区 和 数据 。 

5. 硬件 故障 数据 恢复 


硬件 故障 占 所 有 数据 意外 故障 的 50% 以 上 , 常 有 雷击 .高压 .高 温 等 造成 的 电路 故障 ， 
高 温 .振动 碰 撞 等 造成 的 机 械 故 障 , 高 温 、 振 动 碰撞 、 存 储 介质 老化 造成 的 物理 坏 磁 道 扇 区 故 
障 ,当然 还 有 意外 丢失 损坏 的 固件 BIOS 信息 等 。 

硬件 故障 的 数据 恢复 当然 是 先 诊 断 , 对 症 下 药 , 先 修复 相应 的 硬件 故障 ,然后 修复 其 他 
软件 故障 ,最 终 将 数据 成 功 恢复 。 

电路 故障 需要 有 电路 基础 ,需要 更 加 深入 了 解 硬 盘 的 详细 工作 原理 流程 。 机 械 磁头 故 
障 需 要 100 级 以 上 的 工作 台 或 工作 间 来 进行 诊断 修复 工作 。 另 外 还 需要 一 些 软 硬件 维修 工 
具 配 合 来 修复 固件 区 等 故障 。 


9.5.2 硬盘 数据 恢复 


数据 出 现 问题 主要 包括 两 大 类 : 逻辑 问题 和 硬件 问题 ,相对 应 的 恢复 也 分 别称 为 软件 
恢复 和 硬件 恢复 。 软 件 恢复 是 指 通 过 软件 的 方式 进行 数据 修复 ,整个 过 程 并 不 涉及 硬件 维 
修 。 而 导致 数据 丢失 的 原因 往往 是 病毒 感染 、 误 格式 化 、 误 分 区 \ 误 克隆 \ 误 删除 ,操作 断 
电 等 。 
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1. 常用 数据 恢复 技术 

数据 恢复 是 一 个 技术 含量 比较 高 的 行业 ,数据 恢复 技术 人 员 需 要 具备 汇编 语言 和 软件 
应 用 的 技能 ,还 需要 电子 维修 和 机 械 维 修 及 硬盘 技术 。 

(1) 软件 应 用 和 汇编 语言 基础 。 在 数据 恢复 的 案例 中 ,软件 的 问题 占 了 2/3 以 上 ,如 文 
件 丢 失 、 分 区 表 丢 失 或 被 破坏 、 数 据 库 被 破坏 等 ,这 些 就 需要 具备 对 DOS、Windows、Linux 
操作 系统 及 数据 结构 的 熟练 掌握 ,需要 对 一 些 数据 恢复 工具 和 反 汇 编 工 具 的 熟练 应 用 。 

(2) 电子 电路 维修 技能 。 在 硬盘 的 故障 中 ,电路 的 故障 占据 了 大 约 一 成 的 比例 ,最 多 
的 就 是 电阻 烧毁 和 芯片 烧毁 ,作为 一 个 技术 人 员 ,必须 具备 电子 电路 知识 及 熟练 的 焊接 
技术 。 

(3) 机 械 维修 技能 。 随 着 硬盘 容量 的 增加 ,硬盘 的 结构 也 越 来 越 复杂 ,磁头 故障 和 电机 
故障 也 变 得 比较 常见 ,开盘 技术 已 经 成 为 一 个 数据 恢复 工程 师 必 须 具备 的 技能 。 

(4) 硬盘 固件 维修 技术 。 硬 盘 固 件 损 坏 也 是 造成 数据 丢失 的 一 个 重要 原因 ,固件 维修 
不 当 造 成 数据 破坏 的 风险 相对 比较 高 。 

2. 常用 数据 恢复 工具 

数据 恢复 借助 有 效 的 工具 能 够 起 到 事半功倍 的 作用 ,常用 的 数据 恢复 工具 主要 有 
DATACOMPASS、SalvtionDATA 、PC3000、FinalData、EasyRecovery、EasyUndelete、 
PTDD、 WinHex、R-Studio、DiskGenius、RAID Reconstructor 等 。 下 面 简 单 介 绍 一 下 
EasyRecovery 和 R-Studio, 其 他 的 工具 软件 请 感 兴趣 的 读者 参阅 具体 软件 说 明 。 

EasyRecovery 是 一 个 非常 著名 的 数据 恢复 软件 ,软件 界面 如 图 9. 11 所 示 。 该 软件 功 
能 非常 强大 ,无论 是 误 删 除 、. 格 式 化 还 是 重新 分 区 后 的 数据 丢失 , 它 都 可 以 轻松 解决 ,甚至 可 
以 不 依靠 分 区 表 来 按照 艇 进行 硬盘 扫描 。 但 要 注意 ,不 通过 分 区 表 进 行 数据 扫描 ,很 可 能 不 
能 完全 恢复 数据 ,原因 是 通常 一 个 大 文件 被 存储 在 很 多 不 同 区 域 的 簇 内 ,即使 找到 了 这 个 文 
件 的 一 些 徐 上 的 数据 ,很 可 能 恢复 之 后 的 文件 是 损坏 的 。 所 以 这 种 方法 并 不 是 万 能 的 ,但 它 
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图 9.11 EasyRecovery 软件 界面 
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为 用 户 提供 了 一 个 新 的 数据 恢复 方法 ,适合 分 区 表 严 重 损坏 、 使 用 其 他 恢复 软件 不 能 恢复 的 
情况 下 使 用 。EasyRecovery 最 新 版 本 加 入 了 一 整套 检测 功能 .包括 驱动 器 测试 分 区 测试 、 
磁盘 空间 管理 及 制作 安全 启动 盘 等 。 这 些 功 能 对 于 日 常 硬 盘 数 据 维护 来 说 非常 实用 ,可 以 
通过 驱动 器 和 分 区 检测 来 发 现 文件 关联 错误 及 硬盘 上 的 坏 道 。 

R-STUDIO 是 另 一 个 功能 强大 的 数据 恢复 、 反 删除 工具 ,该 软件 界面 如 图 9. 12 所 示 。 
该 工具 采用 全 新 恢复 技术 ,为 使 用 FAT12/16/32.NTFS、NTFS 5 和 Ext2FS 分 区 的 磁盘 提 
供 完整 数据 维护 解决 方案 。 同 时 提供 了 对 本 地 和 网 络 磁盘 的 支持 ,提供 大 量 参 数 设置 ,让 高 
级 用 户 获得 最 佳 恢 复 效果 。 具 体 功 能 有 : 采用 Windows 资源 管理 器 操作 界面 ; 通过 网 络 
恢复 远程 数据 (远程 计算 机 可 运行 Windows 95/98/Me/NT/2000/XP、Linux、UNIX 系 
统 ); 支持 FAT12/16/32、NTFS、NTFS5 和 Ext2FS 文件 系统 ; 能 够 重建 损毁 的 RAID 阵 
列 ; 为 磁盘 分区、 目录 生成 镜像 文件 ; 恢复 删除 分 区 上 的 文件 .加 密 文 件 C(NTFS 5) 、 数 
据 流 (NTFS、NTFS 5); 恢复 FDISK 或 其 他 磁盘 工具 删除 过 的 数据 ,病毒 破坏 的 数据 、 
MBR 破坏 后 的 数据 ; 识别 特定 文件 名 ; 把 数据 保存 到 任何 磁盘 ; 浏览 、 编 辑 文件 或 磁盘 内 
容 等 。 


jo R-STUDIO network edition - Device View 
Drve Create Tools Vew Hep 


吕 电台 部 《& 


Connect ToRemote Refresh 。 Open Drve Fles Scan Openlmage CreateImage CreateRegon 。 Create WitualRAID 


Us 


二 Drag disks or volumes to the list box to create a RAID set, Also you can use the 
有 16 上 2 | [shorteot mendto mansge the RAIDset 





Device/Disk Fs 
回 < Promise 


0 
1 
0 
0 
0 
0 
0 “omise1+0 JBOD! ‘omisel+0 ]60D1 ‘omise1+0 J6OD! | R 
5 
0 
0 
0 
0 
5 





126 





12B |: 





因 panty bock 
< .. RAIDS NT. 79MB 7 中 | Inveld block order 


S12 Not ordered block 
74.5.. |1 司 a 


> 


























@® System 7H1/2009 B:51:27 PM Enumeration of fies for Partition! started 
Cy System ?111/2009 6:51:27 PM Enumeration of files for Partitionl completed 





9.12 ”R-STUDIO 软件 界面 


3. 数据 恢复 案例 分 析 

数据 恢复 对 每 个 人 都 十 分 重要 ,在 这 里 通过 几 个 案例 来 介绍 几 种 常用 的 数据 恢复 技术 。 
1) 简单 却 收费 昂贵 : 文件 误 删 拯救 技术 

当 发 现 文件 丢失 或 文件 被 同名 文件 覆盖 ,甚至 分 区 被 误 操 作 格式 化 及 误 克 隆之 后 ,就 需 
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要 采用 磁盘 扫描 的 方法 来 进行 数据 恢复 。 

案例 : 华南 某 设 计 院 的 一 台 服 务 器 承担 着 整个 设计 院 的 存储 任务 。2005 年 8 月 2 日 ， 
由 于 管理 员 的 误 操 作 , 将 2004 年 全 年 的 数据 全 部 删除 。 由 于 当时 删除 的 时 候 并 不 是 放 入 
“回收 站 ”, 而 是 直接 删除 ,因此 采用 普通 方法 根本 无 法 恢复 。 为 了 找 回 这 些 数据 ,慌乱 之 中 
管理 员 使 用 了 当时 的 Ghost 备份 文件 来 恢复 ,但 是 恢复 后 发 现 还 是 没有 需要 的 文件 ,并 且 
把 整个 文件 系统 都 弄 得 非常 混乱 。 最 终 在 数据 恢复 公司 的 帮助 下 ,该 设计 院 才 成 功 找 回 
90% 左 右 的 数据 。 

故障 分 析 : 事实 上 ,由 于 误 操作 而 导致 的 文件 丢失 在 软件 类 数据 恢复 中 很 常见 ,大 约 占 
25%。 当 在 磁盘 上 删除 一 些 数 据 后 ,被 删除 的 地 方 只 不 过 做 了 一 个 可 覆盖 标记 ,数据 并 
没有 真正 被 删除 。 但 是 再 次 写 和 的话 ,不 一 定 立 即 覆 盖 刚 刚 删 除 的 内 容 , 因 此 可 以 使 用 磁 
盘 扫描 的 方法 来 恢复 数据 ,但 数据 一 旦 被 其 他 数据 所 覆盖 ,就 很 难 做 到 将 被 删除 数据 完全 
恢复 。 

这 里 推荐 使 用 EasyRecovery 和 FinalData。 由 于 EasyRecovery 和 FinalData 在 针对 分 
区 表 等 故障 时 有 着 一 套 独 特 的 处 理 方法 ,可 以 自动 使 用 内 定 的 方式 来 扫描 文件 ,因此 结合 起 
来 使 用 往往 可 以 带 来 惊喜 。 

EasyRecovery 使 用 Ontrack 公司 复杂 的 模式 识别 技术 找 回 分 布 在 硬盘 上 不 同 地 方 的 
文件 碎 块 ,并 根据 统计 信息 对 这 些 文件 碎 块 进行 重 整 。 接 着 EasyRecovery 在 内 存 中 建立 一 
个 虚拟 的 文件 系统 并 列 出 所 有 的 文件 和 目录 。 哪 怕 整 个 分 区 都 不 可 见 或 硬盘 上 只 有 非常 少 
的 分 区 维护 信息 ,EasyRecovery 仍然 可 以 高 质量 地 找 回 文件 。 

能 用 EasyRecovery 找 回 数据 文件 的 前 提 就 是 硬盘 中 还 保留 有 文件 的 信息 和 数据 块 。 
但 在 进行 删除 文件 ,格式 化 硬盘 等 操作 后 ,再 对 该 分 区 内 写 入 大 量 新 信息 时 ,这 些 需要 恢复 
的 数据 就 很 有 可 能 被 覆盖 了 。 这 时 ,无 论 如 何 都 是 找 不 回想 要 的 数据 了 。 所 以 ,为 了 提高 数 
据 的 修复 率 , 发 现 文件 被 误 删 以 后 ,要 尽量 避免 再 对 要 修复 的 分 区 或 硬盘 进行 新 的 读 写 操 
作 。 如 果 要 修复 的 分 区 恰恰 是 系统 启动 分 区 ,就 要 马上 退出 系统 ,用 另外 一 个 硬盘 来 启动 系 
统 ( 即 采 用 主 /从 硬盘 结构 ) 。 

无 论 是 EasyRecovery 还 是 FinalData ,其 基本 使 用 方法 都 非常 简单 ,大致 可 以 分 为 3 个 
步骤 : 选择 扫描 范围 .指定 扫描 类 型 及 筛选 数据 。 以 EasyRecovery 为 例 ,进入 界面 后 首先 
在 左边 的 列表 中 选择 “数据 恢复 ?工作 模式 ,此 时 软件 会 提供 更 多 的 选项 供 大 家 选择 。 其 实 
这 里 一 般 选 择 “ 高 级 选项 自 定义 数据 恢复 功能 ”选项 ,因为 它 的 功能 是 最 强 的 ,已 经 包括 了 
“查找 并 恢复 已 删除 的 文件 “从 一 个 已 格式 化 的 卷 中 恢复 文件 ”及 “不 依赖 任何 文件 系统 结 
构 信 息 进行 恢复 ”3 个 功能 选项 。 

选择 “高 级 选项 自 定义 数据 恢复 功能 "选项 ,随后 系统 要 求 输入 扫描 所 针对 的 分 区 ,如 
图 9. 13 所 示 。 

然后 EasyRecovery 让 用 户 自己 选 定 文件 系统 类 型 。 如 果 无 法 确定 是 FAT32 还 是 
NTFS, 那 么 可 以 直接 选择 为 RAW 模式 ,只 不 过 此 时 将 对 整个 分 区 的 扇 区 一 个 个 地 进行 扫 
描 , 速 度 会 比较 慢 。 扫 描 会 占用 比较 长 的 一 段 时 间 ,扫描 结束 后 ,EasyRecovery 将 列 出 丢失 
文件 的 列表 ,并且 都 放 在 LOSTFILE 目录 下 ,在 前 面 的 小 方 框 内 打上 钧 ,恢复 所 有 找到 的 文 
件 。 也 可 以 单 击 LOSTFILE 前 面 的 “十 ”号 显示 列表 ,然后 从 中 选取 要 恢复 的 文件 。 选 择 完 
成 后 , 单 击 “ 下 一 步 " 按 钮 ,并 按照 提示 选择 文件 的 存放 路 径 即 可 ,如 图 9. 14 所 示 。 
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确认 您 起 要 恢复 数据 的 分 区 ， 选择 分 区 并 单 击 " 下 一 步 "开始 扫 蕉 文件 - 选择 "取消 "退出 工具 - 
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图 9. 14 EasyRecovery 找 回 丢失 的 文件 





2) 修复 重 装 Windows XP 后 的 Ubuntu 引导 分 区 

当 重 装 了 Windows 以 后 ,把 原来 的 Ubuntu 引导 分 区 表 MBR(Master Boot Record) 中 
grub 的 信息 清除 了 ,不 过 没关系 ,修复 一 下 MBR 就 可 以 了 。 当 计算 机 启动 时 ,首先 运行 
Power On Self Test(POST), 即 加 电 自 检 , 检 测 系统 内 存 及 其 他 硬件 设备 的 现状 。 接 着 通 
过 BIOS 定位 计算 机 的 引导 设备 ,如 果 BIOS 是 即 插 即 用 的 ,那么 计算 机 将 对 硬件 设备 进行 
检查 及 完成 配置 ,然后 MBR 被 加 载 并 运行 。 如 果 是 Windows XP/2000/2003 系统 ,系统 会 
将 控制 权 交 给 NTLDR( 系 统 加 载 器 ) ,调用 Boot. ini, 显 示 多 重 选项 菜单 ,最 后 加 载 要 启动 的 
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系统 。 因 此 ,如 果 破 坏 了 MBR ,就 破坏 了 硬盘 引导 记录 。 当 重 装 Windows 后 ,会 清除 掉 原 
来 的 Ubuntu 引导 分 区 表 MBR 中 grub 的 信息 。 在 这 种 情况 下 ,可 以 通过 修复 MBR 来 修 
复 系统 。 

下 面 介绍 一 下 修复 MBR 的 方法 。 

首先 ,把 Ubuntu 的 安装 光盘 放 进 去 ,然后 启动 。 正 常 进 入 安装 界面 ,打开 终端 。 

(1) 输入 sudo grub ,于 是 变 成 grub >。 

(2) 先 找到 Ubuntu 的 启动 分 区 (就 是 /boot 目录 所 在 的 分 区 ) ,输入 find /boot/grub/ 
stagel , 按 回 车 键 显 示 (hd0,2)。 这 里 hd0 是 指 第 一 个 硬盘 ,2 代表 第 3 个 分 区 , 即 Ubuntu 
根 目 录 所 在 分 区 (0 代表 第 一 个 分 区 ) 。 

(3) 输入 grub > root (hd0,2) 。 

(4) 输入 grub > setup (hd0) ,如 果 出 现 success ,就 表示 成 功 了 。 

(5) 输入 grub > quit, 然 后 重启 。 

如 果 有 多 个 硬盘 ,把 Windows 装 在 第 一 块 磁盘 上 ,而 Linux 装 在 第 二 块 磁盘 上 ,而 
BIOS 设置 为 从 第 一 块 磁盘 启动 ,那么 在 进行 第 (3) 步 的 时 候 ,一 定 要 把 参数 设 为 第 一 块 磁 
盘 , 即 要 把 grub 装 和 人 引导 硬盘 的 MBR 里 。 当 然 ,可 以 将 grub 装 和 人 每 块 硬盘 的 MBR, 也 可 
以 启动 ,这 只 是 一 个 先后 次 序 问 题 。 

3) NTFS 格式 大 硬盘 数据 恢复 特殊 案例 

某 公 司 一 块 80GB 迈 拓 硬 盘 某 天 突然 进 不 了 分 区 ,提示 为 “无 法 访问 X: 参数 错误 ”。 硬 
盘 上 为 该 公司 为 本 市 摄制 和 编辑 的 运动 会 视频 和 音频 文件 , 摄 录 磁 带 中 已 清除 ,运动 会 也 不 
可 能 再 开 一 次 。 

修复 过 程 : 该 硬盘 为 只 有 一 个 NTFS 分 区 的 数据 盘 , 先 在 DOS 下 用 扇 区 编辑 软件 查 
看 ,结果 发 现 分 区 表 和 63 扇 区 都 有 错误 ,1 一 62 扇 区 间 有 大 量 扇 区 被 写 上 不 明代 码 ,87 一 
102 扇 区 不 正常 , 先 手 工 修复 分 区 表 , 恢 复 63 引导 扇 区 ,删除 1 一 62 扇 区 间 的 代码 。87 一 
102 扇 区 之 间 暂 不 处 理 , 到 Windows 下 检查 ,结果 还 是 出 现 同样 的 提示 ,试用 恢复 软件 
EasyRecovery, 可 以 看 到 目录 结构 ,再 试 FinalDate, 这 个 软件 此 时 不 尽 如 人 人意; 用 恢复 软件 
EasyRecovery 选择 某 目 录 进 行 试 恢复 ,结果 28 个 试 恢复 文件 只 恢复 2 个 ,其 余 的 全 部 为 0 
字 节 ,恢复 工作 陷 人 困境 。 再 次 对 79 一 102 扇 区 进行 分 析 ,79 扇 区 面目 全 非 ,被 严重 筑 改 破 
坏 ,80 一 86 扇 区 被 清空 ,87 一 102 扇 区 的 内 容 也 不 正常 。 经 过 一 番 苦 思 冥 想 , 对 某 些 扇 区 进 
行 备份 后 做 清除 ,备份 被 放 到 1 一 62 扇 区 之 间 ,以 备 不 测 时 改 回 原样 。 

再 次 在 Windows 下 用 恢复 软件 EasyRecovery 进行 恢复 ,让 其 读 该 盘 约 10 秒 钟 ,停止 
扫描 ,看 到 的 内 容 和 前 面 提 到 的 相同 , 试 恢复 一 个 文件 夹 ,从 恢复 过 程 能 看 到 这 时 恢复 动作 
正常 了 ,随后 对 其 余 的 文件 和 文件 夹 进行 恢复 , 近 3 个 多 小 时 后 ,63. 9GB 资料 全 部 恢复 , 文 
件 中 AVI、WAV 、PSD 和 其 他 格式 的 图 形 文件 逐个 打开 完全 正常 。 恢 复工 作 顺 利 结束 。 

4) 零 磁道 损坏 的 数据 恢复 

对 于 磁盘 而 言 , 零 磁道 是 最 为 关键 的 地 方 , 因 为 硬盘 的 分 区 表 信 息 就 在 其 中 。 一 旦 零 磁 
道 损 坏 , 那 么 硬盘 将 无 法 启动 。 其 实 零 磁道 损坏 只 是 物理 坏 道 的 特殊 情况 ,所 不 同 的 只 是 损 
坏 之 处 十 分 敏感 。 

案例 : 东北 地 区 某 服装 设计 公司 的 SCSI 单 盘 服务 器 存储 着 整个 公司 的 设计 资料 ,原本 
就 发 现 该 硬盘 有 轻微 的 坏 道 ,但 是 并 未 引起 管理 员 重 视 , 也 没有 做 好 备份 工作 。 终 于 在 
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2005 年 7 月 13 日 ,硬盘 无 法 启动 了 ,管理 员 尝试 格式 化 系统 分 区 也 宣告 失败 。 

故障 分 析 : 通过 Scandisk 扫描 ,发 现 坏 道 其 实 并 不 多 ,甚至 将 它 作 为 从 盘 挂 在 别 的 操作 
系统 下 也 能 看 到 部 分 分 区 内 容 。 但 是 由 于 坏 道 所 处 的 位 置 非常 特殊 ,因此 造成 硬盘 无 法 启 
动 。 经 检测 后 发 现 , 零 磁道 部 分 出 现 了 坏 道 ,这 类 故障 必须 使 用 有 别 于 普通 坏 道 的 处 理 
方法 。 

对 于 带 有 物理 坏 道 的 硬盘 ,最 简单 的 数据 恢复 方法 便 是 将 它 设置 为 从 盘 , 然 后 使 用 另 一 
块 硬盘 引导 进入 操作 系统 。 在 磁盘 管理 器 中 ,大 家 可 以 对 它 进行 盘 符 分 配 。 如 果 分 配 成 功 ， 
可 以 直接 复制 就 能 成 功 恢复 数据 。 如 果 因 为 坏 道 数 量 过 多 而 无 法 分 配 盘 符 ,或 者 在 复制 的 
时 候 总 是 提示 错误 ,那么 就 必须 采用 其 他 方法 了 。 

这 里 推荐 给 大 家 的 是 一 款 名 为 效率 源 的 磁盘 访问 工具 。 它 是 目前 对 付 坏 道 比较 常用 的 
软件 ,该 软件 暂时 还 只 能 在 软盘 上 生成 工具 盘 , 因此 使 用 前 提 是 必须 有 软驱 ,另外 在 
Windows 9x/Me/2000/XP 等 系统 平台 下 都 无 法 查看 工具 盘 中 的 内 容 , 其 特点 在 于 能 够 针 
对 扇 区 进行 复制 。 以 一 块 80GB 硬盘 为 例 , 如 果 已 经 知道 所 需要 的 重要 数据 在 最 后 一 个 分 
区 , 且 最 后 一 个 分 区 的 容量 为 20GB, 那 么 在 效率 源 软件 中 直接 让 起 始 复制 扇 区 定位 在 大 约 
70% 的 位 置 ,终止 位 置 为 最 后 ,这 样 在 复制 过 程 中 将 会 避 开 前 面 的 部 分 。 很 多 时 候 , 物 理 坏 
道 都 是 连续 出 现 , 而 我 们 所 需要 的 数据 可 能 并 没有 存储 在 危险 的 坏 道上 。 然 而 操作 系统 对 
于 硬盘 的 读 取 过 程 比较 特殊 ,一旦 存在 大 量 坏 道 就 有 可 能 无 法 识别 硬盘 分 区 。 通 过 效率 源 
软件 ,大 家 可 以 轻而易举 地 突破 这 些 限 制 ,而且 该 软件 本 身 就 带 有 强力 复制 功能 和 相应 的 校 
验算 法 。 

使 用 方法 : 首先 连 上 需要 数据 恢复 的 硬盘 和 一 块 完 好 的 硬盘 ,然后 使 用 含有 效率 源 软 
件 的 启动 盘 引 导 系 统 , 此 时 会 直接 进入 效率 源 软件 的 主 界面 。 选 择 Sector Copy 命令 之 后 ， 
效率 源 软件 会 要 求 输入 源 盘 与 目标 盘 , 此 时 千 万 不 要 选 错 。 需 要 数据 恢复 的 硬盘 作为 源 盘 ， 
完好 的 硬盘 作为 目标 盘 。 随 后 ,输入 Start 和 End 数字 以 确认 复制 扇 区 的 起 始 位置 , 最 后 单 
击 “ 确 认 ” 按 钮 后 就 可 以 开始 扇 区 复制 来 恢复 数据 ,具体 的 强力 复制 和 纠 错 功能 都 会 自动 打 
开 , 无 须 个 人 用 户 设置 。 

小 知识 : 专业 的 数据 恢复 公司 一 般 使 用 PC3000 和 HIE(Hardware Info Extractor) 等 
工具 进行 扇 区 复制 ,并 且 使 用 风 肩 对 硬盘 降温 (这 种 方法 对 于 IBM 硬盘 特别 有 效 ) ,一 般 都 
能 成 功 导 出 数据 。 由 于 一 套 PC3000 工作 卡 价格 不 菲 ,因此 个 人 用 户 很 难 实现 ,此 时 可 以 考 
虑 寻求 专业 数据 恢复 服务 商 的 帮助 。 相 对 而 言 ,HIE 是 专用 的 硬盘 复制 工具 , 它 能 从 底层 
实现 硬盘 数据 的 真正 复制 。HIE 只 需要 一 个 5V 和 12V 的 电源 接口 就 可 以 工作 了 , 免 去 了 
很 多 软件 操作 的 麻烦 。 对 于 有 坏 道 、 扇 区 标记 错误 ,甚至 是 部 分 很 难 读 写 的 硬盘 ,HIE 都 会 
根据 自身 存储 的 硬盘 修复 程序 对 肩 区 进行 处 理 , 然 后 按照 物理 方式 把 数据 从 硬盘 中 复制 出 
来 ,只 不 过 其 处 理 速 度 非常 慢 。 

5) RAID 

很 多 接触 过 RAID 数据 恢复 的 朋友 都 知道 ,RAID 恢复 服务 收费 很 高 ,如 果 仅 仅 是 一 些 
简单 的 小 故障 ,完全 可 以 自己 先 动手 尝试 一 下 。 不 少 人 都 为 RAID 出 现 问题 而 感到 奇怪 ,以 
RAID5 为 例 , 其 安全 性 应 当 是 很 高 的 。 但 是 除了 RAID 控制 器 本 身 可 能 损坏 外 ,硬盘 在 使 
用 过 程 中 掉 线 而 没有 被 及 时 处 理 也 是 一 个 关键 因素 。 此 外 ,部 分 所 谓 的 RAID5( 如 RAID5 
ADG、RAID5EE 等 ) 其 实 并 不 能 像 理 论 上 那样 支持 两 块 硬盘 掉 线 。 
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案例 : 2005 年 9 月 4 日 , 某 上 市 公司 物流 部 门 的 RAID 磁盘 阵列 突然 崩溃 ,此 时 阵列 柜 
指示 灯 显 示 硬 盘 掉 线 。 由 于 整个 RAID 已 经 崩溃 ,因此 管理 员 无 法 进入 系统 ,也 就 感到 无 从 
下 手 。 主 管 请 来 了 专业 的 数据 恢复 公司 ,最 后 以 单 盘 3000 元 的 价格 (总 计 8 块 硬盘 ,2.4 万 
元 ) 进 行 数据 恢复 操作 。RAID 崩溃 而 导致 的 数据 灾难 在 整体 数据 恢复 案例 中 大 约 占据 
11% ,尽管 比例 不 是 很 高 ,但 是 收费 却 相 当 惊 人 。RAID 数据 灾难 的 症状 包括 亮 指 示 灯 、RAID 
信息 丢失 分 区 丢失 、 所 有 硬盘 变 成 单独 硬盘 ( 软 RAID) 等 ,这 类 故障 的 处 理 方法 比较 复杂 。 

故障 分 析 : 由 于 RAID 的 特殊 性 ,其 分 区 表 并 非 独 立 保存 在 某 一 个 硬盘 上 ,因此 需要 使 
用 专门 的 软件 独立 处 理 。 不 过 鉴于 服务 器 数据 一 般 都 意义 重大 ,建议 大 家 先 使 用 Runtime 
DiskExplorer 制作 镜像 盘 , 该 软件 分 为 NTFS 版 本 和 FAT 版 本 。 制 作 镜 像 的 过 程 非常 简 
单 ,甚至 比 大 家 平常 使 用 Ghost 软件 还 要 简单 ,只 要 直接 选择 要 操作 的 磁盘 并 指定 镜像 文 
件 的 保存 路 径 即 可 ,操作 步骤 可 以 在 一 个 图 形 界面 中 完成 。 

得 到 磁盘 镜像 之 后 , 源 盘 就 可 以 保存 在 安全 的 地 方 , 所 有 的 数据 恢复 操作 直接 在 镜像 盘 
中 处 理 。 恢 复 RAID 数据 的 软件 也 有 不 少 , 这 里 推荐 同样 由 Runtime 开发 的 RAID 
Reconstructor ,该 软件 的 界面 如 图 9. 15 所 示 。 该 软件 在 进入 主 界面 时 需要 设 定 RAID 类 型 
与 磁盘 数量 ,然后 RAID Reconstructor 会 分 析 参 数 并 把 分 散 的 数据 复制 出 来 。 

































































































Exit Tools Help 

Selectihe RAID pe Click "Analyze” and this program will determine 
Specify the number of drives in this RAID array- the comect stripe size. drive order and rotation. 
Name the input drives or images that constitute the RAID. 
Chick “Dpen dmives” Analyze 

RAID ype: [RAIDS tdives = 刁 ER 

Drivel: 

pies ical Disk 

Di Physical Disl 

Drived: 

Drive5: | 

DriveB: 

Drive7: 

Drveg: Copy 

Drives: 

Drive10 Finally. use the recreated RAID image as input 

ee for our “GetD ataBack” or "Captain Nemo” and 

ka tecovery. 

Drive12 

Drive13 

Drive14: 子 Op oe: 

Start sector of the RAID on each individual dive lusualy 中 mm 

Total sectors available in RAID: n/a ea 

Block size: 6 sectors (BKB] 。 Patig roalion [Foward [1.23) = 

ee Upon de httplwww runtime org 
IMemory in use: 432,704 |0log messages lunlicensed Evaluation Version 


图 9.15 RAID Reconstructor 的 主 界面 


一 般 而 言 ,RAID Reconstructor 只 能 对 付 简单 故障 的 中 小 型 RAID, 但 是 作为 送 到 数据 
恢复 中 心 之 前 的 一 种 尝试 还 是 值得 推荐 的 ,只 是 用 户 一 定 要 针对 镜像 文件 操作 ,否则 很 可 能 
破坏 数据 。 至 于 专业 的 数据 恢复 公司 ,一 般 都 有 自己 研发 的 软件 及 一 套 分 析 算法 并 进行 重 
组 的 工具 ,以 确保 较 高 的 成 功率 与 安全 性 。 
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最 后 要 提醒 大 家 的 是 ,出 现 RAID 故障 时 不 要 轻易 让 服务 器 售后 服务 工程 师 操 作 , 因 为 
服务 器 厂商 只 负责 硬件 设备 的 完好 性 ,而 且 多 数 培训 并 不 涉及 数据 恢复 。 不 少 服务 器 售后 
服务 工程 师 在 面 对 RAID 故障 时 简单 地 使 用 强行 加 载 及 初始 化 操作 ,这 很 容易 造成 无 法 挽 
救 的 二 次 破坏 。 

小 知识 : 何 为 RAID5 

RAID5 实际 是 由 RAID3 所 衍生 而 来 的 技术 。 而 RAID3 可 以 看 做 是 RAIDO 的 一 种 扩 
展 , 它 也 是 把 数据 分 块 存放 在 各 个 硬盘 中 ,不 过 为 了 增加 数据 的 安全 性 ,RAID3 又 另外 接 一 
块 硬盘 存放 数据 奇偶 校 验 信息 。 由 于 在 存 取 的 时 候 要 进行 数据 的 奇偶 校 验 , 因 此 RAID3 的 
工作 速度 比 RAID0 要 慢 一 些 。 如 果 存 储 数 据 的 硬盘 发 生 损 坏 , 那 么 只 需要 更 换 它 ,然后 就 
可 利用 校 验 盘 上 的 校 验 信息 恢复 数据 ,不 过 如 果 校 验 盘 也 损坏 了 , 那 就 无 计 可 施 了 。 要 实现 
RAID3 ,至 少 需要 3 块 硬盘 ,在 速度 和 安全 性 上 ,RAID3 介 于 RAIDO 和 RAID1 之 间 。 而 
RAID5 则 针对 RAID 所 存在 的 安全 隐患 ,将 数据 奇偶 校 验 信息 交叉 存储 在 每 个 硬盘 中 ,这 
样 搭建 的 成 本 就 低 了 许多 (最 少 只 需 两 块 硬盘 ) ,而 且 不 用 担心 校 验 盘 损坏 所 带 来 的 数据 安 
全 问题 。 图 9. 16 所 示 为 RAID5 校 验 原 理 。 





图 9.16 RAIDS 校 验 原理 


6) 开盘 更 换 硬盘 磁头 

当 排除 硬盘 是 因为 分 区 表 或 是 固件 的 故障 之 后 ,其 内 部 的 故障 就 很 让 人 担心 了 。 无 论 
是 磁头 缺损 ,还 是 电机 故障 ,或 者 是 更 为 严重 的 盘 片 划 伤 ,这 些 都 需要 进行 开盘 操作 。 所 谓 
开盘 操作 ,是 指 在 一 定 洁净 度 要 求 的 空间 内 打开 硬盘 的 盘 腔 , 对 其 内 部 进行 各 种 操作 ,以 便 
找 回 数据 。 根 据 专 业 数据 恢复 中 心 工 程 师 表示 ,此 类 故障 的 维修 难度 极 大 ,数据 恢复 服务 费 
一 般 在 2500 元 左右 ,而 且 也 是 占据 整体 数据 恢复 案例 中 比例 最 大 的 一 项 故障 ,大 约 有 46% 
的 份额 。 而 如 果 是 SCSI 硬盘 , 则 收费 将 更 为 昂贵 ,可 以 高 达 5000 元 以 上 。 

案例 : 杭州 某 电机 公司 刚 从 国外 购买 的 技术 资料 保存 在 总 经 理 的 台式 计算 机 中 ,不 料 
该 台式 计算 机 硬盘 最 终 成 为 “数据 杀手 ”。 该 硬盘 起 初 工作 速度 缓慢 ,此 后 突然 无 法 被 BIOS 
识别 ,而 且 加 电 后 带 有 异常 的 “ 味 叭 " 声 。 由 于 这 些 技术 资料 都 是 一 次 性 授权 ,因此 价值 百 万 
元 的 数据 可 谓 命 甚 一线 。 

故障 分 析 : 一 般 而 言 ,这 类 故障 情况 几乎 都 是 磁头 老化 ,必须 进行 开盘 处 理 。 

小 知识 : 开盘 的 前 提 条 件 是 有 一 间 洁 净 度 非常 高 的 房间 ,通常 需要 百 级 超 净 的 房间 。 
尽管 千 级 甚至 万 级 或 是 最 普通 的 操作 台 也 有 可 能 开盘 成 功 ,但 是 此 时 的 失误 率 实 在 太 高 ,很 
容易 造成 不 可 挽救 的 二 次 破坏 。 

硬盘 的 密封 都 十 分 结实 ,但 是 只 要 使 用 六 角 螺 丝 刀 也 很 好 处 理 。 分 别 拧 下 各 个 六 角 螺 
丝 之 后 ,就 可 以 打开 硬盘 的 上 盖 , 此 时 也 能 清晰 地 看 到 其 内 部 结构 。 在 打开 硬盘 之 前 ,工程 
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师 一 般 都 会 凭借 经 验 判断 故障 部 位 。 如 果 在 加 电 时 没有 听 到 硬盘 转动 声音 且 更 换 电 路 板 后 
也 没有 效果 ,那么 很 可 能 是 电机 故障 。 而 如 果 转 动 声音 很 正常 且 伴 随 着 “ 味 叭 ” 声 , 则 多 半 蚌 
磁头 偏 移 造成 的 划 盘 (此 时 应 尽 可 能 减少 加 电 次 数 ) ,需要 更 换 磁头 后 才能 恢复 数据 。 然 而 
需要 指出 的 是 ,硬盘 加 电 出 现 “ 味 叭 ”的 敲 盘 声 并 非 完全 是 磁头 偏 移 ,很 多 迈 拓 硬盘 在 固件 信 
息 损 坏 之 后 也 会 有 这 样 的 现象 ,少数 西数 硬盘 也 是 同样 的 情况 ,而 IBM/ 日 立 和 希捷 的 硬盘 
则 很 少 会 出 现 固 件 损坏 ,因此 具体 问题 还 是 需要 分 门 别 类 地 判断 。 

开盘 操作 并 不 像 装 配 一 台 计 算 机 那样 简单 ,毕竟 硬盘 内 部 的 这 些 配件 并 非 完全 通用 , 因 
此 进行 开盘 操作 时 需要 找到 合适 的 备件 ,此 时 所 要 求 的 应 该 不 仅仅 是 型 号 一 样 , 甚 至 是 
Model 号 也 完全 一 致 。 在 更 换 磁头 的 时 候 , 工 程 师 首先 将 内 部 磁铁 盖 片 掀 开 ,此 时 需要 用 力 
得 当 , 否 则 很 容易 弄 伤 盘 片 ,从 而 导致 数据 彻底 报废 ,如 图 9. 17 所 示 。 

真正 困难 的 还 在 于 磁头 的 安放 步骤 。 如 果 硬 盘 
内 部 由 多 个 盘 片 和 磁头 组 成 ,那么 留 给 工程 师 的 操 
作 空 间 就 很 小 ,此 时 稍 不 注意 就 可 能 触及 盘 片 或 弄 
坏 磁头 。 此 外 ,不 同型 号 的 硬盘 在 磁头 特性 方面 也 
不 尽 相 同 , 这 需要 工程 师 凭 和 借 经 验 去 调整 距离 。 在 
开盘 操作 中 ,最 简单 的 莫 过 于 磁头 卡 住 ,此 时 只 要 轻 
轻 地 拨 动 一 下 让 其 归 位 即 可 解决 问题 。 如 果 开 盘 洁 
净 度 足够 高 ,甚至 该 硬盘 还 能 继续 使 用 ,导出 数据 也 
将 是 轻而易举 的 。 而 如 果 确 认 磁 头 已 经 损坏 (主要 
依靠 加 电 后 的 异常 声音 进行 判断 ), 则 必须 更 换 磁 图 9.17 调整 硬盘 的 磁头 部 分 
头 。 这 一 步 操作 要 求 工 程 师 掌握 精确 的 定位 ,并 且 
丝毫 不 能 触及 盘 片 ,否则 就 会 前 功 尽 弃 。 

4. 数据 恢复 的 技巧 

数据 恢复 的 技巧 有 以 下 几 类 。 

1) 不 必 完 全 扫描 

如 果 仅 想 找到 不 小 心 误 删 除 的 文件 ,无 论 使 用 哪 种 数据 恢复 软件 ,也 不 管 它 是 否 具有 类 
似 EasyRecovery 快速 扫描 的 方式 ,其 实 都 没 必 要 对 删除 文件 的 硬盘 分 区 进行 完全 的 簇 扫 
描 。 因 为 文件 被 删除 时 ,操作 系统 仅 在 目录 结构 中 给 该 文件 标 上 删除 标识 ,任何 数据 恢复 软件 
都 会 在 扫描 前 先 读 取 目 录 结 构 信息 ,并 根据 其 中 的 删除 标志 顺利 找到 刚才 被 删除 的 文件 。 所 
以 ,完全 可 在 数据 恢复 软件 读 完 分 区 的 目录 结构 信息 后 就 手动 中 断 簇 扫描 的 过 程 ,软件 一 样 会 
把 被 删除 文件 的 信息 正确 列 出 ,如 此 可 节省 大 量 的 扫描 时 间 ,快速 找到 被 误 删除 的 文件 数据 。 

2) 尽 可 能 采取 NTFS 格式 分 区 

NTFS 分 区 的 MFT(Master File Table) 以 文件 形式 存储 在 硬盘 上 ,这 也 是 EasyRecovery 
和 Recover4all 即使 使 用 完全 扫描 方式 对 NTFS 分 区 扫描 也 那么 快速 的 原因 一 一 实际 上 它 
们 在 读 取 NTFS 的 MFT 后 并 没有 真正 进行 篮 扫 描 , 只 是 根据 MFT 信息 列 出 了 分 区 上 的 
文件 信息 ,非常 取 巧 , 从 而 在 NTFS 分 区 的 扫描 速度 上 压倒 了 老 老 实 实 逐 个 簇 扫描 的 其 他 
软件 。 不 过 对 于 NTFS 分 区 的 文件 恢复 成 功率 ,各 款 软 件 几 乎 是 一 样 的 。 事 实证 明 这 种 取 
巧 的 办 法 确实 有 效 , 也 证 明了 NTFS 分 区 系统 的 文件 安全 性 确实 比 FAT 分 区 要 高 得 多 ,这 
也 就 是 NTFS 分 区 数据 恢复 在 各 项 测试 成 绩 中 最 好 的 原因 ,只 要 能 读 取 到 MFT 信息 ,就 几 








246 计算 机 信息 安全 技术 (第 2 版 ) 





乎 能 100% 恢 复 文 件数 据 。 

3) 巧妙 设置 扫描 的 簇 范 围 

设置 扫描 簇 的 范围 是 一 个 有 效 加 快 扫描 速度 的 方法 。 像 EasyRecovery 的 高 级 自 定义 
扫描 方式 、FinalData 和 FileRecovery 的 默认 扫描 方式 都 可 以 让 用 户 设 置 扫描 的 簇 范 围 以 缩 
短 扫 描 时 间 。 当 然 ,判断 目的 文件 在 硬盘 上 的 位 置 需要 一 些 技巧 ,这 里 提供 一 个 简单 的 方 
法 ,使 用 操作 系统 自 带 的 磁盘 碎片 整理 程序 中 的 碎片 分 析 ( 千 万 小 心 ,不 要 碎片 整理 ,只 是 用 
它 的 碎片 分 析 功 能 ) ,在 分 区 分 析 完 后 程序 会 将 硬盘 的 未 使 用 空间 用 图 形 方式 清楚 地 表示 出 
来 ,那么 根据 图 形 的 比例 估计 这 些 未 使 用 空间 的 大 致 簇 范 围 ,搜索 时 设置 只 搜索 这 些 空白 的 
簇 范围 就 好 了 ,对 于 大 的 分 区 ,这 确实 能 节省 不 少 扫描 时 间 。 

4) 使 用 文件 格式 过 滤器 

以 前 没 用 过 数据 恢复 软件 的 朋友 在 第 一 次 使 用 时 可 能 会 被 软件 的 能 力 吓 一 跳 ,你 的 目 
的 可 能 只 是 要 找 几 个 误 删 的 文件 ,可 软件 却 列 出 了 成 百 上 千 个 以 前 删除 了 的 文件 ,要 找到 自 
己 真正 需要 的 文件 确实 十 分 麻烦 。 这 里 就 要 使 用 EasyRecovery 独 有 的 文件 格式 过 滤器 功 
能 了 ,在 扫描 时 在 过 滤器 上 填 好 要 找 文件 的 扩展 名 ,如 *. doc, 那 么 软件 就 只 会 显示 找到 的 
DOC 文件 了 。 如 果 只 是 要 找 一 个 文件 ,甚至 只 需要 在 过 滤器 上 填 好 文件 名 和 扩展 名 (如 
important. doc) ,软件 自然 会 找到 需要 的 这 个 文件 ,很 快捷 方便 。 


习 题 9 
一 、 选 择 题 


1. 常用 的 数据 备份 方式 包括 完全 备份 、 增 量 备 份 、 差 分 备份 。 这 三 种 方式 在 数据 恢复 
速度 方面 由 快 到 慢 的 顺序 是 ( ) 


A. 完全 备份 . 增 量 备份 ,差分 备份 B. 完全 备份 差分 备份 \ 增 量 备份 
C. 增 量 备份 ,差分 备份 .完全 备份 D. 差分 备份 . 增 量 备份 .完全 备份 
2.(  ) 使 用 多 台 服 务 器 组 成 服务 器 集合 ,可 以 提供 相当 高 性 能 的 不 停机 服务 。 在 这 


个 结构 中 ,每 台 服务 器 都 分 担 着 一 部 分 计算 任务 ,由 于 集合 了 多 台 服 务 器 的 性 能 ,整体 的 计 
算 实力 被 增加 了 。 


A. 双 机 容错 B. 系统 备份 C. 集群 技术 D. 克隆 技术 
3. 磁带 备份 是 当前 一 种 常用 的 备份 介质 。 在 下 述 磁 带 轮换 策略 中 , ) 不 是 常用 的 
磁带 轮换 策略 。 
A. 三 带 轮换 策略 B. 六 带 轮换 策略 
C. 九 带 轮换 策略 D. 祖 - 父 - 子 轮换 策略 
4. 下 述 的 软件 中 ,( ) 不 是 数据 备份 与 恢复 软件 。 
A. EasyRecovery B. File Genie 
C. OfficePasswordRemover D. Second Copy 


5. 下 列 关 于 数据 库 备 份 ,错误 的 是 ( Ys 
A. 数据 库 备 份 介质 一 定 要 具有 统一 通用 性 
B. 制定 完整 的 备份 和 恢复 计划 
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C. 用 人 工 操作 进行 简单 的 数据 备份 来 代替 专业 备份 工具 的 完整 解决 方案 
D. 平时 备份 的 时 候 一 定 要 做 好 异地 备份 。 
二 、 填空 题 
1. 热 备份 是 计算 机 容错 技术 的 一 个 概念 ,是 实现 计算 机 系统 高 可 用 性 的 主要 方式 , 避 
免 因 单 点 故障 (如 磁盘 损伤 ) 导 致 整个 计算 机 系统 无 法 运行 ,从 而 实现 计算 机 系统 的 高 可 用 
性 。 最 典型 的 实现 方式 是 
2. 目前 最 常见 的 网 络 数据 备份 系统 按 其 架构 不 同 可 以 分 为 四 种 : 基于 网 络 附加 存储 
结构 、 、 ”和 Server-Free 结构 。 
条 是 数据 备份 的 逆 过 程 , 就 是 利用 保存 的 备份 数据 还 原 出 原始 数据 的 过 程 。 
4. 第 一 次 对 数据 库 进 行 的 备份 一 定 是 
5. 硬盘 的 分 区 类 型 有 \ 扩 展 分 区 ,在 扩展 分 区 基础 上 ,可 以 建立 
分 区 。 
简 答 题 
1. 什么 是 数据 备份 ? 数据 备份 的 主要 目的 是 什么 ? 
2. 什么 是 系统 数据 备份 ? 
3. 系统 还 原 卡 的 基本 原理 是 什么 ? 请 仔细 观察 一 下 你 周围 的 环境 ,还 有 哪里 用 到 了 还 


4. 什么 是 用 户 数据 备份 ? Second Copy 软件 主要 有 哪些 功能 ? 

5. 网 络 数据 备份 主要 有 哪些 方法 ? 

6. 解释 DAS-Based、LAN-Based、LAN-Free 和 Server-Free 这 4 种 网 络 数据 备份 方法 
的 异同 点 。 

7. 硬盘 数据 恢复 的 基本 原理 是 什么 ? 

8. EasyRecovery 有 哪些 功能 ? 
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本 章 主 要 介绍 软件 保护 常用 的 静态 和 动态 分 析 技 术 , 对 当前 用 于 软件 保护 的 常用 技术 
作 一 个 综合 的 分 析 和 介绍 ,分别 对 其 优 缺点 进行 分 析 , 并 给 出 软件 保护 的 一 般 性 建议 。 


10.1 软件 保护 技术 概述 


软件 保护 技术 是 软件 开发 者 为 了 维护 软件 的 知识 产权 和 经 济 利益 ,不 断 寻 找 各 种 有 效 
方法 和 技术 来 维护 软件 版 权 , 增 加 其 盗版 的 难度 ,或 者 延长 软件 破解 的 时 间 , 尽 可 能 防止 软 
件 被 非法 使 用 所 采用 的 保护 方法 。 软 件 保护 方式 的 设计 应 该 作为 软件 开发 的 一 部 分 来 考 
虑 , 列 人 开发 计划 和 开发 成 本 中 。 如 果 一 种 软件 保护 技术 的 强度 足以 让 破解 者 在 软件 的 生 
存 周期 内 无 法 将 其 完全 破解 ,这 种 保护 技术 就 应 该 说 是 非常 成 功 的 。 

软件 的 破解 者 是 在 盗版 所 带 来 的 高 额 利润 驱动 下 ,或 者 出 于 个 人 爱好 ,而 不 顾及 知识 产 
权 的 约束 ,对 软件 保护 方式 进行 跟踪 分 析 , 以 找到 相应 破解 方法 的 人 。 从 理论 上 来 说 ,没有 
破解 不 了 的 软件 。 所 以 对 软件 知识 产权 的 保护 通过 技术 是 远 远 不 够 的 ,最 终 还 是 要 依赖 于 
国家 法 制 的 完善 ,人 们 对 知识 产权 保护 意识 的 提高 。 


10.2 静态 分 析 技 术 


对 于 破解 者 来 说 ,通过 对 程序 的 静态 分 析 , 了 解 软件 保护 的 方法 是 软件 破解 的 一 个 必要 
手段 。 对 软件 的 保护 者 来 说 ,了 解 静态 分 析 技 术 有 助 于 提高 软件 保护 的 技术 和 方法 。 静 态 
分 析 是 从 反 汇 编 出 来 的 程序 清单 上 分 析 程 序 流程 ,从 提示 信息 入 手 , 了 解 软件 中 各 模块 的 功 
能 、 各 模块 之 间 的 关系 及 编程 思路 ,从 而 根据 自己 的 需要 进行 完善 修改 程序 的 功能 。 给 以 
后 的 动态 调试 打下 基础 ,进而 更 快 更 好 地 破解 软件 的 保护 技术 。 


10.2.1 静态 分 析 技 术 的 一 般 流 程 


对 软件 采用 静态 分 析 的 一 般 流 程 可 以 分 为 以 下 几 步 。 

(1) 先 运行 程序 ,查看 该 软件 有 哪些 运行 时 的 限制 或 出 错 信息 ,如 试用 时 间 的 限制 . 试 
用 次 数 的 限制 等 。 

(2) 查看 软件 是 否 加 壳 。 如 果 该 程序 使 用 加 壳 保 护 , 则 在 进行 静态 分 析 前 必须 进行 脱 
壳 处 理 , 和 否则 无 法 对 该 软件 静态 反 汇 编 操 作 或 反 汇 编 出 来 的 结果 不 正确 。 

(3) 进行 静态 分 析 。 利 用 静态 反 汇 编 工具 (如 W32Dasm、IDA Pro 等 ) 进 行 反 汇编 , 然 
后 根据 软件 的 限制 或 出 错 信息 找到 对 应 的 代码 处 。 同 时 ,还 要 找到 该 软件 的 Call 和 跳 转 等 
关键 代码 ,这 些 对 能 否 成 功 破解 与 保护 软件 起 到 关键 作用 。 
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(4) 修改 程序 。 根 据 找 到 的 关键 代码 ,使 用 十 六 进 制 编辑 器 或 汇编 编辑 功能 来 修改 这 
些 关 键 机 器 码 或 汇编 代码 。 

(5) 制作 补丁 程序 。 在 找到 软件 的 相关 使 用 漏洞 后 ,就 可 以 根据 这 些 漏 洞 信息 来 制作 
保护 软件 的 补丁 程序 。 

静态 分 析 工 具 主要 有 文件 类 型 分 析 工 具 、 资 源 编辑 工具 和 反 汇 编 工 具 三 部 分 ,使 用 静态 
分 析 工 具 可 以 完成 静态 分 析 技术 一 般 流程 中 的 大 部 分 操作 。 

另外 ,目前 大 多 数 应 用 软件 在 设计 时 都 采用 了 人 机 对 话 方式 。 所 谓 人 机 对 话 , 其 实质 是 
指 软件 在 运行 过 程 中 需要 巾 用 户 选 择 的 地 方 (如 注册 窗口 、 信 息 提示 对 话 框 等 ) 都 会 显示 相 
应 的 提示 信息 ,并 等 待 用 户 对 其 进行 设置 。 在 执行 完 某 一 段 程序 后 便 显 示 一 串 提 示 信 息 , 以 
反映 该 程序 运行 后 的 状态 ,如 程序 是 否 正 常 运行 或 提示 用 户 如 何 进 行 下 一 步 工作 等 ,这 给 软 
件 静态 分 析 带 来 了 一 些 暗示 。 


10.2.2 文件 类 型 分 析 


对 软件 进行 静态 分 析 时 ,首先 要 了 解 和 分 析 程 序 的 类 型 ,了 解 程序 的 编写 语言 ,以 及 用 
什么 编译 器 编译 ,程序 是 否 加 这 保护 等 。 常 用 的 文件 分 析 工 具有 PEiD .DIE 和 Filelnfo 等 。 
其 中 FileInfo 识别 文件 类 型 较 多 ,使 用 方便 ,但 由 于 其 长 时 间 没 有 更 新 ,其 识别 文件 的 数据 
库 比较 陈旧 ,已 经 不 能 识别 各 种 新 过。 另外 一 款 常 用 的 侦 壳 工具 是 PEiD, 它 可 以 方便 地 检 
测 出 常见 的 各 种 过 ,下 面 介绍 一 下 PEiD 这 个 工具 。 

PEiD 可 以 探测 大 多 数 的 PE 文件 封包 器 、 加 密 器 和 编译 器 所 构建 的 壳 。 到 目前 为 止 ， 
可 以 探测 600 多 个 不 同类 型 的 这。 同时 , 它 还 可 以 识别 EXE 程序 的 编写 语言 ,如 Visual 
C+t+ Delphi、Visual Basic 或 Delphi 等 。 

PEiD 运行 时 的 界面 如 图 10. 1 所 示 , 从 图 中 可 以 看 出 文件 PEiD. exe 是 Windows 32 位 
GUI 程序 , 即 Windows 图 形 用 户 界面 程序 ,Visual C++7. 1 编译 器 进行 编译 和 链接 的 。 另 
外 还 可 以 看 出 该 程序 是 经 过 ASPack 2. 12 进行 加 壳 的 软件 。 


EE 可 
文件 :BAProgran TilesAPEIDAPEiD exe | 


入 口 点 P0068007 好 区 段 ，[aspesk 加 
文件 偏 移 :。 P0020407 首 守节 : B0603500 [D5] 
链接 器 信息 : 0 一 一 子 系 统 : Wnsz our [3] 

















RSFack 2.12 -> Alexey Solodovnikov 


多 二 扫 扩 如 | [任务 查看 器 | | 选项 @) | | 关于 入 | 退出 把 
末 置 于 项 部 (8) 





图 10.1 PEiD 主 界面 


该 工具 也 集成 了 一 些 常用 的 壳 插 件 : 可 以 直接 对 某 些 识别 出 的 壳 进 行 脱 壳 处 理 。 另 
外 ,该 工具 还 增加 了 病毒 扫描 功能 ,因此 ,该 工具 是 目前 各 类 侦 壳 工具 中 性 能 最 强 的 
一 种 。 
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10.2.3 W32Dasm 简介 


W32Dasm 是 一 个 功能 强大 ,使 用 简单 方便 的 静态 反 汇 编 工 具 。 它 可 以 针对 现在 流行 
的 可 执行 文件 进行 反 编译 ,把 可 执行 文件 反 编译 成 汇编 代码 ,以 利于 研究 人 员 分 析 和 了 解 程 
序 的 结构 和 流程 。 同 IDA Pro 相 比 较 , W32Dasm 在 对 小 型 文件 进行 反 编译 的 时 候 速 度 非 
常 快 ,但 是 当 对 大 的 文件 进行 反 编 译 的 时 候 就 显得 力不从心 了 。 针 对 这 个 现象 ,网 络 上 出 现 
了 不 同 的 版 本 ,最 为 流行 的 是 W32Dasm 8. 93 黄金 汉化 版 。 下 面 简单 介绍 一 下 经 常用 到 的 
功能 和 使 用 方法 。 

启动 W32Dasm 后 ,程序 界面 如 图 10. 2 所 示 。 








图 10.2 W32Dasm 的 主 界面 


1. 文件 加 载 

当 要 对 一 个 程序 进行 反 编译 的 时 候 , 可 以 选择 “ 反 汇编 >“ 打开 文件 ”命令 调和 文件, 然 
后 选 定 需 要 进行 反 编译 的 程序 (“文件 类 型 "下 拉 列 表 中 是 W32Dasm 所 支持 的 文件 类 型 )， 
单 击 “ 打 开 ” 按 钮 即 可 开始 对 程序 的 反 编译 。 软 件 的 反 编译 过 程 根据 软件 的 大 小 ,需要 的 时 
间 也 不 同 。 下 面 以 Windows 自 带 的 “记事 本 ”为 例 来 看 看 反 编 译 后 的 W32Dasm 程序 窗口 ， 
如 图 10. 3 所 示 。 

在 对 程序 反 编译 完成 以 后 ,为 了 避免 下 一 次 青 对 程序 进行 反 编译 ,通常 可 以 选择 “ 反 汇 
编 ">“ 保 存 反 汇编 文件 或 创建 工程 文件 "命令 保存 反 编译 后 的 内 容 。 在 这 里 可 以 把 反 编译 
后 的 汇编 代码 保存 成 ASCII 或 是 alf 项 目 文件 。 这样, 当 青 一 次 打开 这 个 文件 的 时 候 , 就 可 
以 直接 选择 “工程 ”>“ 打 开工 程 文件 ”命令 调用 已 经 保存 好 的 反 编译 的 汇编 代码 ,从 而 减少 
不 必要 的 重复 工作 。 

保存 后 的 文件 被 分 别 存 为 Notepad. alf 和 Notepad. wpj。 当 需要 再 次 打开 所 保存 的 工 
程 文件 的 时 候 , 直 接 打 开 保 存 的 Notepad. wpj 就 可 以 了 。 

2. 对 反 汇 编 源 代码 的 操作 

1)“ 查 找 " 菜 单 

通过 “查找 ”菜单 ,可 以 根据 自己 的 需要 ,查找 反 编译 后 的 汇编 代码 中 的 相关 代码 和 字 
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串 。 当 在 动态 调试 的 过 程 中 发 现 某 个 地 址 是 要 重点 分 析 的 位 置 时 ,可 以 记录 下 相关 代码 或 
地 址 ,然后 在 W32Dasm 中 通过 选择 “查找 ”一 “查找 文本 ”命令 ,在 打开 的 对 话 框 中 输入 对 应 
信息 进行 搜索 。 在 对 反 汇 编 得 到 的 代码 量 比较 大 或 相同 代码 比较 多 的 时 候 , 建 议 使 用 本 方 
法 。 例 如 , 某 个 软件 试用 期 为 30 天 ,但 是 反 汇 编 后 选择 "参考 ”~"* 串 式 参 考 命 令 找 不 到 相 
关 信 息 , 那 么 根据 十 进 制 30 就 是 十 六 进 制 的 1E 来 查找 相关 代码 “0000001E”, 然 后 分 析 哪 
些 代码 段 是 自己 需要 的 。 如 果 有 多 处 相同 代码 ,可 以 按 F3 键 进行 连续 查找 。 








图 10.3 用 W32Dasm 打开 Notepad. exe 文件 


2)“ 转 移 ” 菜 单 

“转移 "菜单 主要 对 反 编译 得 到 的 汇编 代码 进行 定位 操作 ,主要 操作 选项 如 图 10. 4 
所 示 。 
| 从 这 个 菜单 的 条 目 可 以 按照 需要 转 到 跳 转 的 位 置 。 
查找 | @ 革 区 E 坟 和 本 名表 娄 ”wk “ 转 到 代码 头 ” 菜 单 是 将 光标 跳 转 到 由 W32Dasm 得 到 的 反 
Es 编译 后 的 代码 列表 清单 指令 的 开始 处 。“ 转 到 程序 入 口 处 ” 
菜单 是 指 将 光标 指向 程序 的 入 口 点 (Entry Point) ,程序 的 
入 口 点 就 是 程序 开始 执行 时 的 代码 地 址 。“ 转 到 页 ”菜单 主 

图 10.4 “转移 "菜单 要 是 方便 在 反 汇 编 后 得 到 的 代码 页 中 跳 转 ,当知 道 要 分 析 

的 代码 的 页 码 后 ,再 一 次 查看 的 时 候 就 可 以 直接 使 用 此 菜单 跳 转 到 相应 的 页 面 ,从 而 减少 查 
找 时 间 。“ 转 到 代码 位 置 " 菜 单 是 根据 需要 输入 的 代码 的 偏 移 地 址 ,使 光标 跳 转 到 相应 位 置 
上 去 。 如 果 输 入 的 偏 移 地 址 值 小 于 或 大 于 当前 反 汇 编 代 码 中 的 有 效 偏 移 代码 值 ,程序 将 会 
自动 取 最 接近 的 有 效 地 址 。 如 果 输 入 的 偏 移 地 址 代码 值 在 有 效 范 围 内 ,但 是 没有 精确 值 与 
之 匹配 , 则 最 接近 的 有 效 偏 移 值 将 自动 被 选取 。 

3)“ 执 行文 本 ”菜单 

“执行 文本 ”菜单 是 根据 光标 当前 所 在 位 置 的 代码 给 予 执行 的 操作 ,主要 是 执行 反 汇编 
代码 处 的 跳 转 、 调 用 的 文本 代码 ,使 光标 跳 转 到 相应 的 代码 上 ,并 且 可 以 在 执行 后 返回 所 执 
行 的 文本 代码 处 ,能 够 实现 的 操作 选项 如 图 10.5 和 图 10. 6 所 示 。 
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图 10.5 当 光 标 在 跳 转 类 文本 代码 上 的 时 候 能 够 执行 跳跃 操作 


了 0) 反 和 汇编。 人 F) 工 程 8) 调式 、G6) 查 找 (6) 甘 移 | 区) 执行 文本 人) 函数 ”器 )iex 数 据 (k) 参 考 





图 10.6 当 光 标 在 Call 语句 文本 代码 上 的 时 候 能 够 执行 呼叫 操作 


同样 ,在 执行 了 跳跃 操作 或 呼叫 操作 后 ,“ 执 行文 本 ”菜单 中 的 “返回 上 一 跳跃 "和 “返回 
上 一 呼叫 ”菜单 将 被 激活 ,同时 会 发 现在 跳 转 到 的 代码 上 被 标记 为 红色 ,方便 再 次 查阅 。 

4)“ 函 数 ” 菜 单 

“函数 ”菜单 包括 “导入 ”和 “导出 ”两 个 菜单 项 ,这 里 简单 介绍 一 下 "导入 ”菜单 。 

执行 “导入 ”命令 后 ,W32Dasm 将 会 列 出 当前 文件 的 导入 (Import) 函数 名 称 , 当 双 击 相 
应 的 导入 函数 时 ,程序 会 自动 将 光标 位 置 定 位 到 第 一 次 出 现 此 函数 的 反 编译 代码 上 。 如 果 
程序 中 多 次 使 用 同一 个 函数 , 则 每 次 双击 该 函数 时 ,程序 将 自动 移动 到 相应 的 代码 上 ,直至 
循环 ,如 图 10.7 所 示 。 


反 汇 蝙 吕 ) 工程 下 ) 调 坛 四 搜索 B) 转移 9】 执行 文本 库 】 函数 灾 ) 十 六 进 制 洲 据 站) 
帮助 00 











图 10.7 导入 函数 
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“导出 ”函数 的 执行 和 操作 与 * 导 和 ?函数 类 似 。 在 这 里 需要 提 到 的 是 ,一 般 在 EXE 文件 
中 只 有 导入 函数 ,而 没有 导出 (Export) 函数 ,但 是 在 DLL 文件 中 两 者 都 有 。 

5) “参考 "菜单 

“参考 "菜单 包含 “菜单 参考 “对话 框 参考 ”和 “字符 串 数据 参考 ”三 部 分 ,如 图 10.8 所 
示 。“ 参 考 "菜单 在 对 程序 进行 静态 分 析 的 时 候 使 用 的 频率 最 为 频繁 。 


mr 在 对 程序 进行 静态 分 析 和 代码 定位 的 时 候 ,“ 字 符 串 数据 参 
i 考 " 菜 单 为 我 们 提供 了 便利 的 条 件 , 它 列 出 了 程序 中 相关 的 字 串 、 
gs | 。 对 话 信息 ,在 进行 程序 操作 时 的 大 多 数字 申 往 往 可 以 在 这 里 找到 ， 


从 而 进行 快速 定位 。 因 为 W32Dasm 是 国外 软件 ,所 以 对 程序 中 
图 10.8 “参考 "菜单 ”的 中 文字 串 支持 不 够 好 ,为 了 提供 对 中 文字 串 的 支持 ,网 络 上 的 
Cracker 对 程序 进行 了 修改 和 完善 ,人 们 现在 使 用 的 W32Dasm 对 

中 文字 串 的 支持 就 很 好 。 

除了 上 面 的 菜单 外 ,还 可 以 通过 程序 上 面 的 工具 按钮 来 操作 ,只 要 把 鼠标 指针 移动 到 相 
应 的 按钮 上 ,程序 就 自动 给 出 对 应 的 功能 提示 。 

做 静态 分 析 的 时 候 , W32Dasm 给 出 了 一 种 简便 的 复制 操作 。 首 先 在 想 要 复制 的 代码 
段 的 开始 代码 行 前 面 单 击 ,这 时 会 看 见 代 码 行 的 前 面 被 标记 了 一 个 红色 的 点 ,然后 再 把 鼠标 
指针 移动 到 代码 段 的 结束 行 前 面 , 按 下 Shift 键 的 同时 单 击 , 这 样 , 想 要 选中 的 代码 段 就 被 
标记 为 选中 状态 ,然后 按 Ctrl 十 C 组 合 键 就 能 把 代码 复制 到 剪贴 板 , 接 下 来 就 可 以 把 代码 粘 
贴 到 记录 的 文本 或 其 他 文档 中 了 ,如 图 10. 9 所 示 。 





图 10.9 复制 汇编 代码 


除了 W32Dasm 以 外 ,还 有 很 多 优秀 的 静态 分 析 工 具 , 如 IDA Pro、C32asm 等 , 感 兴趣 
的 读者 可 以 查阅 相关 材料 。 


10.2.4 ”可 执行 文件 代码 编辑 工具 


W32Dasm 和 IDA Pro 等 工具 适合 分 析 程 序 文件 ,不 能 对 分 析 的 程序 进行 修改 。 如 果 
需要 对 可 执行 文件 进行 编辑 和 修改 ,要 使 用 专门 的 编辑 工具 。 常 用 的 十 六 进 制 编辑 工具 有 
Hiew、UltraEdit 和 WinHex 等 。 这 里 简单 介绍 一 下 Hiew 的 使 用 。 

Hiew 的 运行 界面 如 图 10. 10 所 示 。 

此 时 在 图 10. 10 的 屏幕 底部 的 命令 行 有 相关 提示 ,对 应 的 是 功能 键 F(n) ,例如 , 按 Fl 
键 出 现 帮助 提示 。Hiew 功能 键 的 作用 如 表 10. 1 所 示 。 
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图 10.10 ”Hiew 的 运行 界面 


表 10.1 Hiew 功能 键 作用 


ETE ET “EA :ITT ‘SEEN "I A EE "EE 









































键 说 明 键 名 说 明 
F1 帮助 Fl0 Filter 一 设置 过 滤 
F2 Hidden 一 打开 或 关闭 隐藏 文件 显示 | Ctrl 十 \ 来 到 驱动 器 的 根 目录 
F3 Name 一 按 文件 排序 Ctrl 十 PgUp 回 到 上 一 目录 
F4 Exten 一 按 扩展 名 排序 Insert 打开 /创建 文件 
F5 Time 一 按 文件 时 间 排 序 Alt 十 Fl 选择 驱动 器 
F6 Size 一 按 文件 大 小 排序 Alt 十 F4 重新 读 取 目 录 文件 
F7 Unsort 一 未 分 类 排序 Ctrl 十 FCn) 将 当前 目录 路 径 保存 
F8 Revers 一 反 转 排序 Ctrl 十 FCn 十 1) | 回 到 保存 的 目录 中 
F9 Files 一 查看 曾 打开 的 文件 历史 回 车 键 可 进入 子 目录 或 从 子 目 录 退 出 
Hiew 的 基本 操作 步 又 如 下 。 


(1) 参考 表 10. 1 中 的 操作 ,打开 待 修改 的 文件 。 

(2) 此 时 按 Fl 键 ,屏幕 又 会 出 现 相关 的 帮助 信息 。( 在 此 略 ) 

(3) 打开 文件 后 ,观察 屏幕 底部 的 4 (Mode) ,此 时 按 F4 键 将 出 现 一 对 话 框 ,让 用 户 选 
择 Text( 文 本 )、Hex( 十 六 进 制 ) 和 Decode( 反 汇编 ) 模 式 。 

(4) 此 时 可 根据 需要 选择 相关 的 模式 。 在 这 里 以 Decode 模式 为 例 , 在 此 模式 下 将 出 现 
汇编 代码 ,现在 就 可 以 修改 这 些 代码 。 按 F3 键 (Edit) 将 进入 编辑 模式 , 按 F5 键 (Goto) 将 
跳 到 指定 的 地 址 , 按 F7 键 (Search) 是 查找 ASCII 码 或 十 六 进 制 数据 。 

(5) 按 F3 键 进入 编辑 模式 后 ,移动 鼠标 指针 到 相应 的 行 , 按 F2 键 或 Enter 键 ,弹出 一 
对 话 框 ,可 修改 汇编 代码 。 修 改 好 后 , 按 F9 键 存盘 ( 按 Enter 键 后 到 下 一 行 ,再 按 Esc 键 关 
闭 对 话 框 ,然后 按 F9 键 ) 。 
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10.3 动态 分 析 技 术 


从 10.2 节 的 内 容 可 以 看 到 ,用 静态 分 析 方 法 可 以 了 解 编写 程序 的 思路 ,但 有 时 并 不 能 
真正 了 解 软件 编写 的 整个 细节 和 执行 过 程 , 特 别 是 碰 到 加 密 和 压缩 程序 时 ,静态 分 析 就 无 能 
为 力 了 。 对 程序 进行 静态 分 析 无 效 或 困难 的 情况 下 ,可 以 对 程序 进行 动态 分 析 。 

所 谓 动态 分 析 , 是 利用 调试 器 (如 OllyDbg) ,通过 调试 程序 ,设置 断 点 、 控 制 调试 程序 的 
执行 过 程 来 发 现 问 题 。 动 态 分 析 的 优势 在 于 它 是 一 种 交互 式 的 分 析 , 可 以 通过 调试 器 对 目 
标 程序 的 各 种 操作 来 更 加 有 效 地 理解 程序 的 逻辑 。 这 个 过 程 是 静态 分 析 不 能 有 效 完 成 的 。 
这 个 动态 分 析 的 过 程 千 变 万 化 ,无 法 给 出 具体 的 模式 。 通 常 可 以 采用 着 色 和 黑 盒 测试 等 方 
法 来 提高 动态 分 析 的 效率 。 

所 谓 着 色 ,是 沿用 了 生物 技术 领域 里 面 的 一 个 概念 ,在 细胞 研究 过 程 中 ,经 常 需要 对 细 
胞 结构 进行 着 色 来 研究 本 身 很 难 观 察 的 微小 结构 的 运作 过 程 。 在 软件 分 析 的 技术 中 ,也 同 
样 存在 类 似 原理 的 分 析 方 法 。 这 里 的 着 色 对 象 是 各 种 存储 体 , 如 内 存 空间 、 寄 存 器 等 。 在 代 
码 运 行 过 程 中 ,最 重要 的 信息 就 是 数据 传送 。 可 以 说 ,除了 特定 的 功能 代码 ,其 他 代码 的 数 
据 传送 对 程序 的 正常 运行 都 是 极其 重要 的 。 数 据 传送 包括 内 存 数据 传送 和 寄存 器 中 的 数据 
传送 。 这 里 的 着 色 , 就 是 通过 调试 工具 ,将 需要 观察 的 数据 存储 体 中 的 数据 修改 为 相互 分 离 
的 直观 数值 ,而 这 些 数值 很 容易 区 别 于 数据 正常 使 用 的 数值 ,从 而 有 效 避 开 带 有 “垃圾 ”的 复 
杂 代 码 , 了 解 需要 分 析 代 码 的 实际 意图 的 方法 。 

黑 盒 测 试 在 很 多 领域 都 有 不 同 的 定义 ,在 动态 分 析 中 ,就 是 通过 某 种 技术 ,对 一 系列 的 
代码 组 合 进行 测试 ,从 而 猜测 一 些 非常 复杂 的 指令 的 意图 ,这 样 就 可 以 避免 对 这 些 指令 进行 
具体 分 析 的 一 种 方法 。 

常见 的 调试 器 有 SoftICE、OllyDbg(OD) 和 RW2000 等 。 其 中 ,SoftICE 是 一 款 经 典 调 
试 工具 ,运行 在 Ring0 级 ,可 以 调试 驱动 ,并 常 驻 在 内 存 中 ,是 一 个 由 命令 行 操 控 的 工具 。 由 
于 平时 调试 的 程序 都 是 Ring3 级 ,因此 建议 用 户 使 用 OllyDbg 对 软件 进行 动态 分 析 。 该 工 
具 具 有 可 视 化 界面 ,支持 对 反 汇编 译 后 的 代码 加 上 自己 的 注释 ,可 以 定义 复杂 的 断 点 条 件 。 
除 此 功能 外 ,OllyDbg 还 将 静态 分 析 和 动态 调试 功能 完美 地 结合 在 一 起 ,调试 多 线程 的 应 用 
程序 ,从 一 个 线程 切换 到 另 一 个 线程 、 挂 起 ,恢复 和 终止 ,以 及 改变 其 优先 级 。 还 可 附加 正在 
运行 的 应 用 程序 ,并 支持 DLL 动态 链接 库 的 调试 。 

SoftICE 是 Compuware NuMega 公司 开发 的 最 著名 的 动态 调试 工具 ,可 以 调试 各 种 应 
用 程序 和 设备 驱动 程序 ,还 可 以 通过 网 络 连接 进行 远程 调试 。 由 于 现在 最 普及 的 操作 系统 
是 Windows NT、Windows 2000/XP/2003, 因 此 下 面 主 要 介绍 SoftICE 在 Windows 平台 安 
装 时 的 一 些 注意 事项 。 

SoftICE 安装 后 的 配置 如 下 。 

1. Symbol Loader 的 使 用 

在 SoftICE 的 开始 菜单 里 有 一 项 Symbol Loader 快捷 方式 ,运行 该 快捷 方式 ,在 其 菜单 
Edit 下 有 SoftICE Initialization Settings 选项 ,打开 后 如 图 10. 11 所 示 , 在 这 里 就 可 以 配置 
SoftICE 了 。 
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图 10.11 SoftICE 初始 化 配置 界面 


(1) General 选项 卡 。 在 Initialization string 文本 框 中 ,可 填 上 需要 SoftICE 一 启动 就 
自动 运行 的 命令 。 例 如 , “WD 2; WC 14; FAULTS OFF; IXHERE OFF; IYHERE OFF; 
set font 2; lines 40; x;”( 各 行 以 分 号 分 开 )。 

(2) Exports 选项 卡 。 在 这 里 可 添加 相关 的 DLL 文件 ,以 便 在 SoftICE 下 拦截 这 些 
DLL 的 函数 。 特 别 是 破解 VB 程序 时 ,一定 要 将 VB 运行 库 装载 进去 。 

(3) Keyboard Mappings 选项 卡 。 这 里 配置 各 功能 热 键 。 例 如 ,F5 二 "*x; "是 用 F5 键 
代替 命令 x。 

(4) Macro Definitions 选项 卡 。 宏 定义 可 定制 各 种 命令 宏 ,以 方便 平时 的 操作 。 例 如 
s7878="S 30: 0 L ffffffff '78787878' ”用 命令 s7878 代替 一 串 命 令 S 30: 0 L ff '78787878'。 

(5) Remote Debugging 选项 卡 。 利 用 网 络 远 程 调 试 配置 。 

注意 : 以 上 所 有 配置 好 后 的 参数 都 保存 在 winice. dat 文件 中 。 

2. winice. dat 配置 

在 Windows XP 下 ,SoftICE 配置 除了 用 上 面 的 方法 外 ,也 可 通过 对 文件 winice. dat 的 
直接 修改 来 实现 。SoftICE 在 启动 时 通过 该 文件 装载 一 些 DLL/EXE 的 信息 。 

winice. dat 文件 通常 在 SoftICE 的 安装 目录 下 ,可 用 任何 文本 编辑 软件 (如 记事 本 ) 打 
开 它 。 下 面 是 一 个 典型 的 winice. dat 文件 内 容 。 


;注意 分 号 后 是 描述 语言 ,不 被 执行 
PENTIUM = ON; <= Pentium Op - Codes 
NuI = ON 

ECHOKEYS = OFF 

NOLEDS = OFF 

NOPAGE = OFF 
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SIWVIDRANGE = ON 

THREADP = ON 

LOWERCASE = OFF 

WDMEXPORTS = OFF 

MONITOR= 0 

PHYSMB = 128; <= 这 个 值 是 物理 内 存 大 小 

SYM = 1024 

HST= 256; <= 历史 缓冲 区 为 256KB 

TRA=8 

MACROS = 32; <= 宏 操 作 的 最 大 个 数 ,此 处 是 32 个 
DRAWSIZE = 2048; <= 显卡 内 存 是 2MB 

INIT = " wd 2; wc 20; FAULTS OFF; IXHERE OFF; IYHERE OFF; set font 2; lines 40; code on; x; "; <= 
初始 化 ,此 处 默认 的 是 800 x 600 分 辨 率 

; 如 是 全 屏 请 换 上 lines 57 





FIlQ= "py ™ 

Fl11 = "^G @SS: ESP; " 
F12 = "^p ret; " 

SF3 = "^format) " 


Cge = "XT; ， 
CE9 = "TRACE OFF; " 
CE10= "Xp; " 


CE11 = "SHOW B; " 

CF12 = "TRACE B; " 

ME1= "wr " 

ME2 = wwdj " 

AF3 = "^S 0 L FFFFFFFF 8B, CA, F3, A6, 74, 01, 9F, 92, 8D, 5E, 08; "; <= VB3 特征 字符 串 

RF4= "^s 0 1 ffffffff 56,57,8B,7C,24,10,8B,74,24, 0C,8B, 4C, 24,14, 33, C0, F3,66,A7; " ; <= VB4 
特征 字符 串 

RE5 = "^s 0 1 ffffffff FF,75,E0, E8,85, EF, FF, FF, DC,1D,28,10,40,00,DF, E0, 9E, 75,03; " ; <= VB5 
特征 字符 串 


REF8= "^XTR; " 

REF11 = "^dd dataaddr ->0;" 

REF12 = "^dd dataaddr ->4; " 

CF1 = "altscr off; lines 60; wc 32; wd 8; " 

CE2 = "wr; ‘wd; ‘we; " 

; <= 以 下 是 宏 操 作 命 令 

MACRO s7878 = "S 30: 0 L ffffffff "178787878'" 

MACRO sname = "S 0 L FFFFFFFF 'toye' " 

MICHO suide se OL FEREE Td 
MACRO reg = "bpx regqueryvalueexa if * (esp—->8)>= 'Soft'do "d(esp—->14)"" 
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MACRO bpxpe = "bpx loadlibrarya do "dd esp—>4" " 

MACRO bpxgeta = "bpx GetDlgItemTextA; bpx getwindowtexta; bpx getdlgitemint; bpx getdlgitemtext; " 
EXP = c:\windows\system\advapi32.dll 

;<= 以 下 4 行 前 不 要 加 分 号 ,否则 不 被 装载 ,SOFTICE 可 能 什么 也 拦 不 到 : 

EXP = c:\windows\system\kernel32.dll 

EXP = c:\windows\system\user32.dll 

exp = Cc:\windows\system\gdi32. dll 

exp = Cc:\windows\system\comct132.d1l ; 

EXP = c:\windows\system\msvbvm50. dll 

;<= Visual Basic 5 注意 以 上 含有 * .dll 的 5 行 语句 中 最 好 不 要 同时 装载 两 个 以 上 的 * .dll 
; x*xxxx Examples of export symbols that can be included for Windows 95 xxxxx 
; Change the path to the appropriate drive and directory 

EXP = c:\windows\system\kernel32.dll 

EXP = c:\windows\system\user32. dll 

EXP = c:\windows\system\gdi32. dll 

EXP = c:\windows\system\comdl1g32. dll 

EXP = c:\windows\system\shell32. dll 

EXP = c:\windows\system\advapi32. dll 

EXP = c:\windows\system\shell232.dll 

EXP = c:\windows\system\comct132. dll 

; EXP = c:NwindowsNsystemNcrtd11. dll 

; EXP = c:\windows\system\version. dll 

EXP = c:\windows\system\netlib32. dll 

; EXP = c:\windows\system\msshrui. dll 

EXP = c:\windows\system\msnet32. dll 

EXP = c:\windows\system\mspwl32. dll 

; EXP = c:\windows\system\mpr. dll 


装载 SoftICE 后 , 按 Ctrl 十 D 组 合 键 就 可 以 看 到 调试 界面 ,再 次 按 Ctrl 十 D 组 合 键 或 F5 
键 回 到 Windows 状态 。 此 时 调试 窗口 类 似 Windows 中 的 窗口 。 如 果 类 似 全 屏 DOS 一 样 
的 窗口 , 那 就 是 安装 显卡 时 参数 没 设置 好 ,此 时 参照 上 述 文件 修改 即 可 。 

具体 SoftICE 的 使 用 方法 请 参考 软件 自 带 的 帮助 文档 ,这 里 就 不 青 闭 述 。 


10.4 常用 软件 保护 技术 


10.4.1 序列 号 保护 机 制 


在 下 载 和 安装 软件 的 时 候 ,经 常会 碰 到 序列 号 这 种 软件 保护 机 制 。 先 来 看 看 序列 号 方 
式 的 工作 过 程 。 当 用 户 从 网 络 上 下 载 某 个 共享 软件 后 ,一 般 都 有 使 用 时 间 上 的 限制 , 当 过 了 
共享 软件 的 试用 期 后 ,用 户 必须 到 这 个 软件 的 公司 去 注册 后 方 能 继续 使 用 。 注 册 过 程 一 般 
是 用 户 把 自己 的 私人 信息 (一 般 主 要 指名 字 ) 连 同 信用 卡号 码 告诉 给 软件 公司 ,软件 公司 会 
根据 用 户 的 信息 计算 出 一 个 序列 码 ,在 用 户 得 到 这 个 序列 码 后 ,按照 注册 需要 的 步骤 在 软件 
中 输入 注册 信息 和 注册 码 ,其 注册 信息 的 合法 性 由 软件 验证 通过 后 ,软件 就 会 去 掉 试用 版 的 
各 种 限制 。 这 种 保护 方式 实现 起 来 比较 简单 ,不 需要 额外 的 成 本 ,用 户 购买 也 非常 方便 ,在 
因特网 上 的 软件 大 多 采用 这 种 方式 进行 保护 。 
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软件 验证 序列 号 的 合法 性 过 程 其 实 就 是 验证 用 户 名 和 序列 号 之 间 的 换算 关系 是 否 正确 
的 过 程 。 其 验证 方法 通常 有 两 种 : 一 种 是 按 用 户 输 入 的 用 户 名 信息 来 生成 注册 码 , 青 与 用 
户 输入 的 注册 码 进行 比较 ,公式 表达 如 下 : 

序列 号 = F( 用 户 名 ) 

但 这 种 方法 等 同 于 在 用 户 软件 中 再 现 了 软件 公司 生成 注册 码 的 过 程 ,在 实际 应 用 中 这 
是 非常 不 安全 的 ,无 论 其 换算 过 程 多 么 复杂 ,解密 者 只 需 把 你 的 换算 过 程 从 程序 中 提取 出 来 
就 可 以 编制 一 个 通用 的 注册 程序 。 

另外 一 种 是 通过 注册 码 来 验证 用 户 名 的 正确 性 ,公式 表示 如 下 : 

用 户 名 = F- (序列 号 ) 

在 这 种 验证 方法 中 ,用 来 生成 注册 码 的 函数 下 未 直接 在 程序 中 出 现 ,而 且 正 确 注册 码 
的 明文 也 未 出 现在 内 容 中 ,因此 这 种 方法 相对 第 一 种 要 安全 一 些 。 这 其 实 是 软件 公司 注册 
码 计算 过 程 的 逆 算 法 ,如 果 正 向 算法 与 反 向 算法 不 是 对 称 算法 的 话 ,对 于 解密 者 来 说 的 确 有 
些 困 难 , 但 这 种 算法 相当 不 好 设计 。 

于 是 有 人 考虑 到 以 下 算法 : 

F1( 用 户 名 称 ) = F2( 序 列 号 ) 

F1、F2 是 两 种 完全 不 同 的 算法 ,用 户 名 通过 Fl 算法 计算 出 的 特征 值 与 序列 号 通过 F2 
算法 计算 出 的 特征 值 进行 比较 ,如 果 相 同 , 则 表示 输入 了 正确 的 注册 码 。 这 种 算法 在 设计 上 
比较 简单 ,保密 性 相对 以 上 两 种 算法 也 要 好 得 多 。 如 果 能 够 把 Fl1、F2 算法 设计 成 不 可 逆 算 
法 , 则 保密 性 相当 好 。 可 一 旦 解密 者 找到 其 中 之 一 的 逆 算 法 ,这 种 算法 就 不 安全 了 。 从 上 述 
描述 可 以 看 出 ,采用 一 元 函数 的 算法 设计 很 难 有 太 大 的 突破 ,因此 ,有 人 开始 尝试 采用 二 元 
函数 的 算法 来 提高 算法 的 安全 性 , 即 : 

特征 值 = F( 用 户 名 ,序列 号 ) 

这 个 算法 看 上 去 相当 不 错 , 在 这 种 算法 中 ,用 户 名 与 序列 号 之 间 的 关系 不 再 那么 清晰 ， 
但 同时 也 失去 了 用 户 名 与 序列 号 的 一 一 对 应 关系 ,软件 开发 者 必须 自己 维护 用 户 名 与 序列 
号 之 间 的 唯一 性 ,但 这 似乎 不 难 办 到 , 建 个 数据 库 就 好 了 。 当 然 ,也 可 以 根据 这 一 思路 把 用 
户 名 称 和 序列 号 分 为 几 个 部 分 来 构造 多 元 的 算法 。 

特征 值 = F( 用 户 名 1, 用 户 名 2,… ,序列 号 1, 序 列 号 2,…) 

现 有 的 序列 号 加 密 算法 大 多 是 软件 开发 者 自行 设计 的 ,大 部 分 相当 简单 ,而 且 有 些 算法 
作者 虽然 下 了 很 大 的 工夫 , 却 往 往 得 不 到 它 所 希望 的 结果 。 实 际 上 ,现在 有 很 多 现成 的 加 密 
算法 可 以 用 ,如 RSA、DES、SHA、MD5, 只 不 过 这 些 算法 是 为 了 加 密 密 文 或 密码 用 的 ,与 序 
列 号 加 密 多 少 有 些 不 同 。 举 例如 下 。 

(1) 在 软件 程序 中 有 一 段 加 密 过 的 密 文 S。 

(2) 密 钥 = F( 用 户 名 ,序列 号 )。 用 上 面 的 二 元 算法 得 到 密 钥 。 

(3) 明文 D = F-DES( 密 文 S, 密 钥 )。 用 得 到 的 密 钥 来 解密 密 文 得 到 明文 D。 

(4) CRC 二 F-CRC( 明 文 D)。 对 得 到 的 明文 应 用 某 种 CRC 统计 。 

(5) 检查 CRC 是 否 正确 。 最 好 多 设计 几 种 CRC 算法 ,检查 多 个 CRC 结果 是 否 都 
正确 。 
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采用 这 种 方法 ,在 没有 一 个 已 知 正确 的 序列 号 情况 下 永远 推算 不 出 正确 的 序列 号 。 
10.4.2 警告 窗口 


警告 窗口 是 软件 设计 者 用 来 不 时 提醒 用 户 购买 正式 版 本 的 窗口 。 软 件 设 计 者 认为 , 当 
用 户 受 不 了 试用 版 中 的 这 些 烦 人 的 窗口 时 就 会 考虑 购买 正式 版 本 。 它 可 能 会 在 程序 启动 或 
退出 时 弹出 来 ,或 者 在 软件 运行 的 某 个 时 刻 随机 或 定时 地 弹出 来 ,确实 比较 烦人 。 

去 除 警 告 窗口 常用 的 方法 是 修改 程序 的 资源 ,将 可 执行 文件 中 警告 窗口 的 属性 改 成 透 
明 不 可 见 , 这 样 就 变相 去 除了 警告 窗口 。 

如 果 需 要 完全 去 除 警告 窗口 ,只 需 找到 创建 此 窗口 的 代码 , 跳 过 该 代码 执行 即 可 。 常 用 的 
显示 窗口 的 函数 有 MessageBox()、MessageBoxEx()、ShowWindow() 和 CreateWindowEx() 等 。 
利用 消息 设 断 点 ,一 般 都 能 将 对 应 的 窗口 拦截 下 来 。 


10.4.3 功能 限制 的 程序 


功能 限制 程序 一 般 是 DEMO 版 或 菜单 中 部 分 选项 是 灰色 。 有 些 DEMO 版 本 的 部 分 程 
序 功 能 根本 就 没有 ,而 有 些 程序 功能 全 有 ,只 要 注册 后 就 正常 了 。 功 能 限制 的 程序 一 般 分 为 
两 种 。 

(1) 试用 版 和 正式 版 是 完全 分 开 的 两 个 版 本 ,被 禁止 的 功能 在 试用 版 的 程序 中 没有 对 
应 的 代码 ,这 些 代码 只 有 正式 版 中 才 有 ,而 正式 版 只 能 向 软件 作者 购买 。 对 于 这 种 程序 , 破 
解 者 破解 该 软件 是 没有 什么 意义 的 ,因为 破解 以 后 仍然 不 会 得 到 相应 的 功能 。 

(2) 试用 版 和 注册 版 为 同一 个 文件 ,没有 注册 时 ,按照 试用 版 运行 ,禁止 某 些 功能 的 使 
用 。 一旦 注册 以 后 ,就 以 正式 版 模式 运行 ,用 户 可 以 使 用 全 部 功能 。 对 于 这 种 类 型 的 程序 ， 
破解 者 只 要 通过 一 定 的 方法 恢复 被 限制 的 功能 ,就 能 使 该 试用 版 的 软件 同 正 式 版 相同 。 

使 用 这 些 DEMO 程序 部 分 被 禁止 的 功能 时 会 跳出 提示 框 ,说 这 是 DEMO 版 等 信息 , 它 
们 一 般 都 是 调用 MessageBox() 或 DialogBox() 等 函数 。 破 解 者 可 在 W32Dasm 反 汇 编 后 找 
到 对 应 的 提示 信息 ,作为 破解 的 指示 器 。 

另外 ,菜单 中 部 分 选项 是 灰色 的 不 能 用 ,一 般 是 通过 以 下 两 种 函数 实现 的 。 

1. EnableMenultem 

功能 : 允许 ,禁止 或 变 灰 指定 的 菜单 条 目 。 


BOOL EnableMenuItem( 


HMENU hMenu, // 菜 单 句 柄 

UINT uIDEnableItem, // 菜 单 ID, 形 式 为 : 允许 ,禁止 ,或 灰 
UINT uEnable // 菜 单项 目 旗帜 

); 

Returns 

ASM 代码 形式 如 下 : 

USH uEnable //ugnable = 0, 则 菜单 选项 允许 
PUSH uIDEnableItem 

PUSH hWnd 


CRLL [KERNEL32! EnableMenuItem] 
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2. EnableWindow 
功能 : 允许 或 禁止 鼠标 和 键盘 控制 指定 窗口 和 条 目 ( 禁 止 时 菜单 变 灰 )。 


BOOL EnableWindow( 


HWND hWnd, // 窗 口 句柄 

BOOL bEnable // 允 许 /禁止 输入 
); 

Returns 


如 果 窗 口 以 前 被 禁止 , 则 返回 TRUE ,否则 返回 FALSE。 
10.4.4 时 间 限 制 


时 间 限 制程 序 通常 有 两 类 : 一 类 是 对 每 次 运行 程序 的 时 间 进 行 限制 ; 另 一 类 是 每 次 运 
行 时 间 不 限 , 但 有 时 间 段 限制 ,如 软件 只 能 使 用 30 天 等 。 

如 程序 运行 10 分 钟 或 20 分 钟 后 就 停止 执行 ,必须 重新 启动 该 程序 才能 正常 工作 , 即 对 
程序 实行 运行 时 间 的 限制 。 要 实现 时 间 限 制 ,应 用 程序 中 必须 有 计时 器 来 统计 程序 运行 的 
时 间 。 在 Windows 中 使 用 计时 器 有 以 下 几 个 API 函数 。 

(1) SetTimer() : 应 用 程序 可 以 在 初始 化 时 调用 这 个 API 函数 来 向 系统 申请 一 个 计时 
器 ,并 且 指 定 计时 器 的 时 间 间 隔 , 同 时 还 可 以 提供 一 个 处 理 计 时 器 超时 的 回调 函数 。 当 计时 
器 超时 时 ,系统 会 向 申请 该 计时 器 的 窗口 发 送 消息 WM_TIMER ,或 者 调用 应 用 程序 所 提供 
的 回调 函数 。 

(2) TimeSetEvent() : 应 用 程序 通过 调用 TimeSetEvent() 来 设 定 回调 函数 的 激活 ,从 
而 提高 计时 的 精度 。 

(3) GetTickCount() : 该 函数 返回 系统 自 成 功 启 动 以 来 所 经 过 的 毫秒 数 。 将 该 函数 的 
两 次 返回 值 相 减 ,就 可 以 知道 程序 运行 的 总 时 间 。 

(4) TimeGetTime() : 多 媒体 计时 器 函数 TimeGetTime() 也 可 以 返回 Windows 自 启 
动 后 所 经 过 的 时 间 ,以 毫秒 为 单位 。 一 般 情况 下 ,不 需要 使 用 高 精度 的 多 媒体 计时 器 。 精 度 
太 高 会 对 系统 性 能 产生 影响 。 


10.4.5 注册 保护 


注册 文件 (Key File) 是 一 种 利用 文件 来 实现 注册 软件 保护 的 方式 。Key File 一 般 是 一 
个 小 文件 ,可 以 是 纯 文本 文件 ,也 可 以 是 包含 不 可 显示 字符 的 二 进 制 文件 。 其 内 容 是 一 些 加 
密 或 未 加 密 的 数据 ,其 中 可 能 有 用 户 名 、 注 册 码 等 信息 。 当 用 户 向 软件 作者 付费 注册 之 后 ， 
就 会 收 到 软件 作者 的 注册 文件 ,用 户 只 要 将 该 文件 存 人 到 指定 的 目录 中 ,就 可 以 让 软件 成 为 
正式 版 。 软 件 每 次 启动 时 ,将 从 该 注册 文件 中 读 取 数据 ,然后 利用 某 种 算法 进行 处 理 , 根 据 
处 理 的 结果 判断 是 否 为 正确 的 注册 文件 ,如果 正确 , 则 以 注册 版 模式 来 运行 。 

为 增加 破解 难度 ,可 以 采用 大 一 些 的 文件 作为 Key File, 可 以 在 Key File 中 加 入 一 些 垃 
圾 信息 来 干扰 解密 者 的 企图 ; 对 于 注册 文件 的 合法 性 检查 要 尽 可 能 地 分 成 几 部 分 ,并 分 散 
在 软件 的 不 同 模块 中 进行 判断 ; 对 注册 文件 内 的 数据 处 理 也 尽 可 能 采用 复杂 算法 ,不 要 使 
用 简单 的 异 或 运算 ; 可 以 让 注册 文件 中 的 部 分 数据 和 软件 中 的 关键 代码 或 数据 相互 关联 ， 
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以 使 软件 无 法 被 暴力 破解 。 
10.5 软件 加 壳 与 脱 壳 


10.5.1 壳 的 介绍 


所 谓 * 加 壳 ”, 就 是 用 专门 的 工具 或 方法 在 应 用 程序 上 加 入 一 段 如 同 保护 层 一 样 的 代码 ， 
使 原 程序 失去 本 来 面目 ,从 而 防止 程序 被 非法 修改 和 反 汇 编 。 这 段 如 同 保护 层 的 代码 一 般 
都 是 先 于 程序 运行 , 拿 到 控制 权 , 然 后 完成 它们 保护 软件 的 任务 。 巾 于 这 段 程序 和 自然 界 的 
壳 在 功能 上 有 很 多 相同 的 地 方 , 从 而 形象 地 把 这 样 的 程序 称 为 “ 壳 ”。 

用 户 在 执行 被 加 这 的 程序 时 ,实际 上 首先 执行 的 是 外 这 程序 ,由 外 壳 程序 负责 把 原 程 序 
解压 缩 ,并 把 控制 权 交 给 解压 缩 后 的 原 程序 执行 。 在 程序 的 执行 过 程 中 ,用 户 不 知道 加 壳 软 
件 的 执行 过 程 ,而 且 壳 的 出 现 并 不 会 影响 程序 执行 速度 ,因此 人 们 通常 对 壳 的 存在 不 会 察觉 
到 。 对 软件 加 壳 的 主要 目的 有 两 个 : 一 是 保护 ,二 是 压缩 。 

(1) 保护 功能 。 软 件 在 发 布 出 去 以 后 ,程序 不 可 避免 地 会 受到 各 种 破解 或 攻击 。 给 软件 
加 壳 的 主要 目的 就 是 通过 给 程序 加 上 一 段 保护 层 代码 ,使 原来 的 程序 失去 本 来 面目 ,从 而 给 破 
解 .跟踪 带 来 障碍 。 如 果 用 反 汇 编 工 具 对 加 壳 的 软件 进行 反 汇 编 ,根本 看 不 到 真实 的 可 执行 文 
件 代码 ,从 而 也 无 法 对 程序 进行 修改 。 要 想 修改 程序 ,必须 首先 把 壳 脱 掉 , 还 原本 来 面目 。 

(2) 压缩 功能 。 随 着 应 用 软件 功能 的 日 渐 强大 ,程序 的 体积 也 越 来 越 大 。 现 在 的 一 个 
程序 , 动 辑 就 是 几 十 或 几 百 MB, 这 给 程序 在 网 上 传播 和 存储 带 来 了 不 小 的 麻烦 。 于 是 可 以 
在 对 程序 进行 加 壳 处 理 的 同时 对 程序 进行 压缩 ,既是 对 软件 的 一 种 保护 ,也 能 有 效 减 小 程序 
的 体积 。 当 然 ,这 里 的 压缩 同 我 们 常用 的 WinZip、WinRAR 的 压缩 还 是 有 差别 的 ,这 里 的 
压缩 要 用 专用 的 压缩 工具 对 PE 格式 的 EXE 或 DLL 文件 进行 压缩 ,压缩 以 后 的 程序 同 正 
常 的 EXE 文件 一 样 可 以 执行 。 

软件 的 壳 分 为 加 密 壳 、 压 缩 壳 、 伪 装 壳 、 多 层 壳 等 ,但 它们 的 目的 都 是 为 了 隐藏 程序 真正 
的 入 口 点 ,防止 被 破解 。 


10.5.2 软件 加 壳 工 具 简 介 


现在 以 压缩 为 主要 目的 的 常见 加 壳 软件 主要 有 ASPacK、UPX 和 PECompact 等 。 以 
保护 程序 为 主要 目的 的 常见 加 壳 软 件 主要 有 ASProtect、Armadillo 和 EXECryptor 等 。 随 
着 加 壳 技 术 的 发 展 ,这 两 类 软件 之 间 的 界线 越 来 越 模糊 ,很 多 加 壳 软 件 除 了 具有 较 强 压缩 性 
的 同时 ,也 有 了 和 较 强 的 保护 性 能 。 下 面 分 别 介绍 几 种 常用 的 加 壳 软 件 。 

1. 压缩 过 

1) ASPack 

ASPack 是 一 款 Win32 可 执行 文件 压缩 软件 ,可 压缩 Windows 32 位 可 执行 文件 (. exe) 
及 库 文件 (. dll、. ocx) ,文件 压缩 比率 高 达 40% 一 70%。ASPack 软件 无 内 置 解压 缩 程序 ,不 
能 自 解压 自己 压缩 过 的 程序 , 即 不 能 用 于 自 脱 壳 。ASPack 的 主 界面 如 图 10. 12 所 示 。 可 
以 在 Open File 选项 卡 中 单 击 “Open” 按 钮 ,在 弹出 的 “Select File to Compress” 窗 口中 选择 
要 加 壳 的 . exe 文件 后 ,ASPack 就 自动 开始 加 壳 , 加 壳 完 成 后 在 软件 目录 下 会 生成 备份 文 
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件 。 可 以 比较 一 下 加 壳 后 的 软件 与 原文 件 有 什么 不 同 。 

4 

UPX (Ultimate Packer for eXecutables) 是 一 款 先 进 的 可 执行 程序 文件 压缩 器 ,压缩 过 
的 可 执行 文件 体积 可 以 缩小 50% 一 70%。UPX 支持 许多 种 可 执行 文件 格式 ,包括 
Windows 95/98/Me/NT/2000/XP 程序 和 动态 链接 库 、.DOS 程序 、Linux 可 执行 文件 和 核 
心 。 在 UPX 中 内 置 了 解压 缩 程 序 , 可 以 同时 实现 加 壳 和 脱 壳 功 能 。UPX 的 压缩 算法 自己 
实现 ,速度 极 快 , 软 件 界面 如 图 10. 13 所 示 。 
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图 10.12 ASPack 的 主 界面 图 10.13 UPX 的 主 界面 


3) PECompact 

PECompact 同样 也 是 一 款 能 压缩 可 执行 文件 的 工具 (支持 EXE、DLL、SCR 和 OCX 等 
文件 )。 相 比 同类 软件 ,PECompact 提供 了 多 种 压缩 项 目的 选择 ,用 户 可 以 根据 需要 确定 哪 
些 内 部 资源 需要 压缩 处 理 。 同 时 ,该 软件 还 提供 了 加 解密 的 插件 接口 功能 。PECompact 的 
主 界面 如 图 10. 14 所 示 。 
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图 10.14 PECompact 的 主 界面 
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2. 加 密 保护 过 介绍 


除了 压缩 功能 以 外 ,另外 一 类 壳 就 是 保护 壳 。 为 了 保护 自己 的 软件 不 轻易 地 被 他 人 “ 借 
鉴 *" 和 被 他 人 非法 使 用 ,有 必要 对 软件 进行 一 些 加 密 保护 。 特 别 注意 的 是 ,不 能 太 依赖 过 的 
保护 ,大 多 数 壳 都 是 可 以 被 攻破 的 ,还 是 在 软件 算法 的 自身 保护 上 下 些 功 夫 比 较 重要 。 

现在 壳 发 展 的 一 个 趋势 就 是 虚拟 机 保护 ,利用 虚拟 机 保护 后 ,能 大 大 提高 保护 强度 , 因 
此 建议 尽 可 能 使 用 此 类 技术 保护 软件 。 例 如 ,Themida、WinLicense 和 EXECryptor 等 壳 都 
带 有 虚拟 机 保护 功能 。 

1) ASProtect 

ASProtect 是 一 款 非常 强大 的 Windows 32 位 保护 工具 。 它 拥有 压缩 加 密 、 反 跟踪 代 
码 \ 反 - 反 汇编 代码 .CRC 校 验 和 花 指令 等 保护 措施 。 它 使 用 Blowfish、Twofish 和 TEA 等 
强劲 的 加 密 算法 ,还 用 RSA1024 作为 注册 密 钥 生 成 器 。 它 通过 API 钩子 (APIhooks, 包 括 
Import hooks 和 Export hooks) 与 加 壳 的 程序 进行 通信 ,甚至 用 到 了 多 态 变形 引擎 
(Polymorphic Engine) 、 反 APIhook 代码 (Anti-APIhook Code) 和 BPE32 的 多 态 变形 引擎 
(BPE32 Polymorphic Engine) 。 并 且 ASProtect 为 软件 开发 人 员 提 供 了 SDK ,实现 加 密 程 
序 的 内 外 结合 。 

ASProtect SKE 系列 已 采用 了 部 分 虚拟 机 技术 ,主要 是 在 Protect Original EntryPoint 
与 SDK 上 。 保护 过 程 中 建议 使 用 SDK.,SDK 的 使 用 请 参考 其 帮助 文档 。 在 使 用 时 注意 
SDK 不 要 内 套 ,并 且 同 一 组 标签 要 用 在 同一 个 子 程序 段 里 。ASProtect 的 使 用 相当 简单 , 主 
界面 如 图 10. 15 所 示 ,打开 被 保护 的 EXE/DLL 文件 后 , 选 上 需要 的 保护 选项 ,再 选择 “ 模 
式 ” 选 项 卡 , 单 击 “ 添 加 模式 "按钮 .将 “激活 此 模式 ”选中 ,最 后 选择 “保护 ”选项 卡 ,对 软件 进 
行 保护 即 可 。ASProtect 加 壳 过 程 中 也 可 外 挂 用 户 自 己 写 的 DLL 文件 ,方法 是 在 图 10. 15 
中 的 “外 部 选项 ”选项 区 域 中 加 上 目标 DLL 即 可 。 这 样 , 用 户 可 以 在 DLL 加 入 自己 的 反 跟 
踪 代码 ,以 提高 软件 的 反 跟 踪 能 力 。 


应用 程序 各 称 [用 程序 名 际 

应 用 程序 版 本 ”| ] 口 人 到 潭 中 至 职 
要 保护 的 文件 【< ProjectVToarAppWae ers 

铀 出 文件 名 














编译 器 映 冉 文件 





保护 选项 
口 资 源 保护 


口 保持 额外 涩 务 











(TC)1999-2005 ASPack Softvare 











图 10.15 ASProtect 的 主 界面 
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强度 评价 : 由 于 ASProtect 名 气 太 大 ,研究 它 的 人 很 多 ,因此 很 容易 被 脱 壳 , 不 推荐 
使 用 。 

2) Armadillo 加 密 壳 

Armadillo 也 称 为 穿山 甲 , 是 一 款 应 用 面 较 广 的 壳 , 其 界面 如 图 10. 16 所 示 。 它 可 以 运 
用 多 种 手段 来 保护 软件 ,同时 也 可 以 为 软件 加 上 种 种 功能 限制 ,包括 时 间 、 次 数 、 启 动画 面 
等 。 很 多 商用 软件 采用 其 加 这。Armadillo 对 外 发 行 时 有 Public 和 Custom 两 个 版 本 。 
Public 是 公开 演示 的 版 本 ,Custom 是 注册 用 户 拿 到 的 版 本 。 只 有 Custom 才 有 完整 的 功 
能 ,Public 版 有 功能 限制 ,没什么 强度 ,不 建议 采用 。 


| 


Eile Protection Keys Help 


国 | 他 | 回 | 


Projsct uses dafault language tex 





No certificates defined. 





图 10.16 ”Armadillo 加 密 壳 界面 


强度 评价 : Armadillo 中 比较 强大 的 保护 选项 是 Nanomites 保护 ( 即 CC 保护 ) ,用 好 能 
提高 强度 ,其 他 选项 没什么 强度 。 

3) EXECryptor 加 密 壳 

EXECryptor 也 是 一 款 性 能 较 好 的 加 密 壳 工具 ,可 能 由 于 兼容 性 等 原因 ,采用 其 保护 的 
商业 软件 不 是 太 多 。 这 款 壳 的 特点 是 Anti-Debug 做 得 比较 隐蔽 ,另外 就 是 采用 了 虚拟 机 保 
护 它 的 部 分 关键 代码 ,其 主 界面 如 图 10. 17 所 示 。 


YEXECryptor [Unregistered] 
辟 | [| 因 明日 交 辐 | 


eT Protection options | Serial number support Adanced | 


Application file name-: 





Protected application file name: 




















Software ID: |6C55-67B9 


10.17 EXECryptor 加 密 壳 主 界面 


强度 评价 : 用 好 EXECryptor 虚拟 机 保护 功能 .将 关键 敏感 代码 用 虚拟 机 保护 起 来 
能 有 效 提高 保护 强度 。 能 脱 掉 EXECryptor 壳 的 人 很 多 ,但 能 对 付 其 虚拟 机 代码 的 人 
不 多 。 

4) Themida 加 密 壳 

Themida 是 Oreans 的 一 款 商业 壳 软 件 。Themida 的 最 大 特点 就 是 其 虚拟 机 保护 技术 ， 
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因此 在 程序 中 使 用 SDK ,将 关键 代码 让 Themida 用 虚拟 机 保护 起 来 。Themida 最 大 的 缺点 
就 是 生成 的 软件 有 些 大 。WinLicense 这 款 壳 和 Themida 是 同一 公司 的 一 个 系列 产品 ， 
WinLicense 主要 多 了 一 个 协议 ,可 以 设 定 使 用 时 间 , 运 行 次 数 等 功能 ,两 者 的 核心 保护 是 一 
样 的 。Themida 的 界面 如 图 10. 18 所 示 。 


123 下 HE2ITIIDA | Advanced Windows Software Protection System 


新 洼 打开 车 二 保存 有 ee 保存 为 .. 保护 多) 帮助 、1) 关 于... 
应 用 程序 信息 











口 人 版 本 信息 中 取得 








口 从 版 本 信息 中 取 社 


加 
































@@ 应 用 程序 信息 








图 10.18 Themida 的 界面 


强度 评价 : 用 好 其 虚拟 机 保护 功能 ,将 关键 敏感 代码 用 虚拟 机 保护 起 来 能 提高 保护 


5) VMProtect 

VMProtect 是 一 款 纯 虚拟 机 保护 软件 , 它 是 当前 最 强 的 虚拟 机 保护 软件 ,经 VMProtect 处 
理 过 的 代码 至 今 还 没有 人 公开 宣称 能 破解 。 

但 该 软件 也 有 缺点 ,就 是 该 过 的 加 载 会 影响 程序 运行 速度 ,因此 在 一 些 对 速度 要 求 很 高 
的 场合 就 不 适合 采用 。VMProtect 1. 22. 3 之 前 是 免费 版 ,可 以 支持 EXE、DLL 等 文件 。 更 
高 版 本 需要 购买 ,其 支持 驱动 程序 的 保护 。 现 在 流行 的 做 法 是 先 用 VMProtect 将 核心 代码 
处 理 一 下 ,再 选用 一 款 兼 容 性 好 的 壳 进 行 保护 。 

VMProtect 并 没有 提供 使 用 说 明 ,必须 告诉 VMProtect 要 加 密 的 代码 具体 地 址 ,这 对 
使 用 者 有 一 定 的 要 求 , 至 少 要 懂 一 些 跟踪 技术 ,可 以 用 调试 器 ,如 OllyDbg 跟踪 到 程序 需要 
保护 的 地 址 ,然后 添加 地 址 到 VMProtect。 在 这 里 以 一 个 记事 本 程序 为 例 来 演示 一 下 使 用 
方法 。 

运行 VMProtect 后 ,打开 NOTEPAD. EXE 文件 。 选 择 Dump 选项 卡 ,输入 要 加 密 的 
起 始 地 址 ,光标 跳 转 到 要 加 密 代 码 起 始 地 址 后 ,选择 “Project”>“new procedure” 命 令 ,会 出 
现 一 个 新 的 项 目 , 如 图 10. 19 所 示 。 需 要 处 理 其 他 地 址 时 ,请 依次 操作 。 
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DVMProtectv 1-1 





push 01001898 - 

cal 01007568 

wor ebx, eby 

push ebx 

mov ed ID10010CC] > KERNEL32 GetM 
cal ed 

cmp word ph [eaxl 5A4D 

inz 010073DA 

mov ecx [eax+3C] 

add 


ecx. eax 
cmp dword ptr ecx]. 00004550 





国 
wm 


Be [Addes EL 二 D 


| ur 一 











图 10.19 VMProtect 界面 


10.5.3 软件 脱 壳 


当 要 对 一 个 软件 进行 全 面 的 分 析 时 ,首先 要 检查 它 是 否 加 了 壳 及 加 了 什么 这。 对 一 
个 加 了 壳 的 软件 ,如 果 没 有 脱 壳 ,是 没有 办 法 进行 分 析 的 。 为 了 对 软件 代码 进行 分 析 , 首 
先 要 去 除 其 中 的 保护 信息 和 干扰 信息 , 即 脱 壳 操 作 , 还 原 软件 的 本 来 面目 ,这 个 过 程 称 为 
脱 壳 。 

脱 壳 之 前 ,首先 使 用 侦 壳 软件 检查 目标 软件 壳 的 类 型 ,常用 的 侦 壳 软件 有 FileInfo、 
PEiDentifer 和 Language2000 等 ,这 些 软件 的 使 用 都 很 简单 ,这 里 就 不 再 介绍 。 对 软件 脱 壳 
可 以 使 用 脱 壳 软件 ,也 可 以 采用 手动 脱 壳 。 

手动 脱 壳 时 ,需要 熟悉 Windows 下 可 执行 文件 的 标准 格式 , 即 PE(Portable Executable) 文 
件 格式 ,同时 还 需要 借助 于 一 些 辅助 工具 ,如 W32Dasm、LordPE、 文 件 位 置 计算 器 (File 
Location Calculator) 冲击波 (Blast Wave2000) 等 。 手 动 脱 壳 的 基本 步骤 有 查找 程序 人 口 
点 .获取 内 存 映像 文件 .重建 输入 表 等 。 

自动 脱 壳 就 是 用 专门 的 脱 壳 工具 软件 和 通用 的 脱 壳 软件 进行 脱 壳 的 过 程 。 通 常 每 个 专 
用 脱 壳 软 件 只 能 脱 掉 特 定 的 一 种 或 两 种 加 壳 软 件 所 加 的 壳 。 通 用 的 脱 壳 软 件 具 有 通用 性 ， 
可 以 脱 掉 许 多 不 同 种 类 的 壳 。 一 般 来 说 ,专用 的 脱 壳 软 件 使 用 范围 比较 狭窄 ,但 对 特定 的 壳 
十 分 有 效 ,通用 的 壳 往 往 不 能 精确 地 适用 于 某 些 软件 脱 壳 。 

最 常用 的 加 壳 软 件 都 有 对 应 的 脱 壳 工 具 , 有 些 压 缩 工具 自身 能 解压 ,如 UPX; 有 些 不 
提供 自 脱 壳 功能 ,如 ASPACK ,就 需要 UNASPACK 进行 脱 壳 。 

目前 除了 专用 的 脱 壳 软件 外 ,另外 一 类 就 是 通用 脱 壳 软 件 , 如 ProcDump、GUW32 和 
UN-PACK 等 。ProcDump 是 一 个 著名 的 通用 脱 壳 软 件 , 它 有 一 个 脚本 文件 script. ini。 用 
户 可 以 编写 新 的 脚本 存 人 该 文件 中 来 对 付 新 的 加 壳 软 件 ,这 个 特点 是 其 他 脱 壳 软 件 所 不 具 
备 的 。ProcDump 的 运行 界面 如 图 10. 20 所 示 。 

GUW32 是 一 个 智能 化 的 全 自动 脱 壳 软 件 ,其 原理 是 通过 模拟 单 步 跟 踪 实 现 自动 脱 壳 。 
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使 用 它 时 ,用 户 不 需要 了 解 壳 的 信息 ,不 需要 侦 测 所 加 壳 的 类 型 ,只 需 选 定 脱 壳 软 件 就 可 
以 了 


\T ProcDump32 (C) 1998, 1999, 2000 G-RoM, Lorian & Stone 


























图 10. 20 ”ProcDump 运行 界面 


脱 壳 成 功 的 标志 是 脱 壳 以 后 的 软件 能 够 正常 运行 ,并 且 功 能 没有 减少 。 一 般 来 说 , 脱 过 
后 的 软件 长 度 要 大 于 原文 件 长 度 。 即 使 同一 个 文件 ,采用 不 同 脱 壳 软 件 进行 脱 壳 以 后 ,得 到 
的 文件 大 小 也 不 尽 相 同 。 除 了 上 述 介 绍 的 几 种 脱 壳 软件 之 外 ,还 有 其 他 的 脱 壳 工具 , 感 兴趣 
的 读者 可 以 查阅 相关 材料 。 

常用 壳 的 脱 壳 方式 汇总 如 下 。 

(1) ASPack 壳 : 用 得 最 普遍 ,对 这 种 壳 通 常 只 要 用 UNASPACK 或 ProcDump 脱 壳 就 
可 以 了 。 

(2) ASProtect 十 aspack 壳 : 国外 的 软件 多 用 它 来 加 壳 , 脱 壳 时 需要 用 到 SoftICE 十 
ICEDUMP, 需 要 一 定 的 专业 知识 ,但 最 新 版 现在 暂时 没有 办 法 。 

(3) UPX 壳 : 可 以 用 UPX 本 身 来 脱 过 ,但 要 注意 版 本 是 否 一 致 ,用 -D 参数 。 

(4) Armadillo 壳 : 可 以 用 SoftICE 十 ICEDUMP 脱 壳 ,比较 麻烦 。 

(5) DBPE 壳 : 国内 比较 好 的 加 密 软件 ,新 版 本 暂时 不 能 脱 ,但 可 以 破解 。 

(6) NeoLite 壳 : 可 以 用 自己 来 脱 壳 。 

(7) Pcguard 壳 : 可 以 用 SoftICE 十 ICEDUMP 十 FROGICE 来 脱 壳 。 

(8) PECompat 壳 : 用 SoftICE 配合 PEDUMP32 来 脱 壳 。 

(9) Petite 壳 : 有 一 部 分 旧版 本 可 以 用 PEDUMP32 直接 脱 壳 ,新 版 本 脱党 时 需要 用 到 
SoftICE 二 ICEDUMP ,需要 一 定 的 专业 知识 。 

(10) WWPack32 过 : 和 PECOMPACT 一 样 ,其 实 有 一 部 分 的 旧版 本 可 以 用 PEDUMP32 
直接 脱 壳 ,不 过 有 时 候 的 资源 无 法 修改 ,也 就 无 法 汉化 ,所 以 最 好 还 是 用 SoftICE 配合 
PEDUMP32 脱 壳 。 


10.6 设计 软件 的 一 般 性 建议 


本 节 将 给 出 设计 软件 保护 的 一 般 性 建议 ,这 些 都 是 无 数 人 经 验 的 总 结 。 程 序 员 在 设计 
自己 的 软件 时 ,最 好 能 够 遵守 这 里 给 出 的 准则 ,这 样 会 大 大 提高 软件 的 保护 强度 。 
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(1) 软件 最 终 发 行 之 前 ,一 定 要 将 可 执行 程序 进行 加 壳 / 压 缩 ,使 得 解密 者 无 法 直接 修 
改 程序 。 如 果 时 间 人 允许 并 且 有 相应 的 技术 能 力 , 最 好 设计 自己 的 加 壳 / 压 缩 方法 。 如 果 采 用 
现成 的 加 壳 工 具 , 最 好 不 要 选择 流行 的 工具 ,因为 这 些 工 具 已 被 广泛 深入 地 加 以 研究 ,有 了 
通用 的 脱 壳 / 解 压 办 法 。 另 外 ,最 好 采用 两 种 以 上 不 同 的 工具 来 对 程序 进行 加 壳 / 压 缩 ,并 尽 
可 能 地 利用 这 些 工 具 提 供 的 反 跟 踪 特 性 。 

(2) 增加 对 软件 自身 的 完整 性 检查 。 这 包括 对 磁盘 文件 和 内 存 映 像 的 检查 ,以 防止 有 
人 未 经 允许 修改 程序 以 达到 破解 的 目的 。DLL 和 EXE 之 间 可 以 互相 检查 完整 性 。 

(3) 不 要 采用 一 目 了 然 的 名 称 来 命名 函数 和 文件 ,如 IsLicensedVersion() .key. dat 等 。 
所 有 与 软件 保护 相关 的 字符 串 都 不 能 以 明文 形式 直接 存放 在 可 执行 文件 中 ,这 些 字符 串 最 
好 是 动态 生成 。 

(4) 尽 可 能 少 地 给 用 户 提示 信息 ,因为 这 些 蛛 丝 马 迹 都 可 能 导致 解密 者 直接 深入 到 保 
护 的 核心 。 例 如 , 当 检 测 到 破解 企图 之 后 ,不 要 立即 给 用 户 提示 信息 ,而 是 在 系统 的 某 个 地 
方 做 一 个 记号 ,随机 地 过 一 段 时 间 后 使 软件 停止 工作 ,或 者 装 作 正 常 工作 ,但 实际 上 却 在 所 
处 理 的 数据 中 加 入 了 一 些 垃圾 。 

(5) 将 注册 码 ,安装 时 间 记 录 在 多 个 不 同 的 地 方 。 

(6) 检查 注册 信息 和 时 间 的 代码 越 分 散 越 好 。 不 要 调用 同一 个 函数 或 判断 同一 个 全 局 
标志 ,因为 这 样 做 的 话 只 要 修改 了 一 个 地 方 则 全 部 都 被 破解 了 。 

(7) 不 要 依赖 于 GetLocalTime()、GetSystemTime() 这 样 众所周知 的 函数 来 获取 系统 
时 间 , 可 以 通过 读 取 关 键 的 系统 文件 的 修改 时 间 来 得 到 系统 时 间 的 信息 。 

(8) 如 果 有 可 能 ,可 以 采用 联网 检查 注册 码 的 方法 , 且 数 据 在 网 上 传输 时 要 加 密 。 

(9) 除了 加 壳 / 压 缩 之 外 ,还 需要 自己 编程 在 软件 中 嵌入 反 跟 踪 的 代码 ,以 增加 安全 性 。 

(10) 在 检查 注册 信息 的 时 候 插入 大 量 无 用 的 运算 以 误导 解密 者 ,并 在 检查 出 错误 的 注 
册 信 息 之 后 加 入 延 时 。 

(11) 给 软件 保护 加 入 一 定 的 随机 性 ,比如 除了 启动 时 检查 注册 码 之 外 ,还 可 以 在 软件 
运行 的 某 个 时 刻 随机 地 检查 注册 码 。 随 机 值 还 可 以 很 好 地 防止 那些 模拟 工具 ,如 软件 狗 模 
拟 程 序 。 

(12) 如 果 采 用 注册 码 的 保护 方式 ,最 好 是 一 机 一 码 , 即 注册 码 与 机 器 特征 相关 ,这 样 一 
台 机 器 上 的 注册 码 就 无 法 在 另外 一 台 机 器 上 使 用 ,可 以 防止 有 人 散播 注册 码 ,并 且 机 器 号 的 
算法 不 要 太 迷 信和 硬盘 序列 号 , 因 用 相关 工具 可 以 修改 其 值 。 

(13) 如 果 试 用 版 与 正式 版 是 分 开 的 两 个 版 本 , 且 试用 版 的 软件 没有 某 项 功能 , 则 不 要 
仅仅 使 相关 的 菜单 变 灰 ,而 是 彻底 删除 相关 的 代码 ,使 得 编译 后 的 程序 中 根本 没有 相关 的 功 
能 代码 。 

(14) 如 果 软 件 中 包含 驱动 程序 , 则 最 好 将 保护 判断 加 在 驱动 程序 中 。 因 为 驱动 程序 在 
访问 系统 资源 时 受到 的 限制 比 普通 应 用 程序 少 得 多 ,这 也 给 了 软件 设计 者 发 挥 的 余地 。 

(15) 如 果 采 用 keyfile 的 保护 方式 , 则 keyfile 的 尺寸 不 能 太 小 ,可 将 其 结构 设计 得 比较 
复杂 ,在 程序 中 不 同 的 位 置 对 keyfile 的 不 同 部 分 进行 复杂 的 运算 和 检查 。 

(16) 自己 设计 的 检查 注册 信息 的 算法 不 能 过 于 简单 ,最 好 是 采用 比较 成 熟 的 密码 学 算 
法 。 可 以 在 网 上 找到 大 量 的 源码 。 
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习 题 10 


简 答 题 
. 为 什么 要 对 软件 进行 保护 ? 在 你 的 周围 ,最 常见 的 软件 保护 方法 是 什么 ? 
.常用 的 软件 保护 技术 有 哪些 ? 在 这 些 软件 保护 技术 中 ,你 认为 哪 种 方式 最 有 效 ? 
. 简 述 软件 破解 的 一 般 流 程 。 
. 一 个 加 过 这 的 软件 在 经 过 脱 壳 之 后 ,是 否 还 会 和 原文 件 保持 一 样 ? 说 明理 由 。 
. 在 使 用 注册 机 算出 软件 注册 码 并 成 功 注册 后 ,软件 正常 使 用 了 一 段 时 间 , 突 然 提示 
用 户 “ 该 软件 已 经 注册 过 期 ,需要 重新 注册 ”, 为 什么 会 出 现 这 样 的 情况 ? 
6. 目前 网 络 上 有 很 多 软件 都 不 可 以 长 期 免费 使 用 ,怎样 才能 够 下 载 可 以 免费 使 用 的 软 
件 , 且 能 够 无 限期 地 免费 使 用 它们 ? 


am 小 oo 于 
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在 经 济 全 球 化 的 今天 , 随 着 网 络 , 尤 其 是 网 络 经 济 的 发 展 ,客户 分 布 日 益 广泛 ,合作 伙伴 
增多 ,移动 办 公 人 员 也 随 之 剧 增 。 传统 企业 网 基于 固定 地 点 的 专线 连接 方式 很 难 适应 现代 
企业 的 需求 。 在 这 样 的 背景 下 ,远程 办 公 室 、 公 司 各 分 支 机 构 、 公 司 与 合作 伙伴 、 供 应 商 、 公 
司 与 客户 之 间 都 有 需求 建立 专门 的 连接 通道 ,以 进行 信息 传送 。 

而 在 传统 的 企业 组 网 方案 中 ,要 进行 远程 LAN 到 LAN 互联 ,除了 租用 DDN 专线 或 帧 
中 继 之 外 ,并 没有 更 好 的 解决 方法 。 对 于 移动 用 户 与 远 端 用 户 而 言 , 只 能 通过 拨号 线路 进入 
企业 各 自 独立 的 局 域 网 。 这 样 的 方案 必然 导致 昂贵 的 长 途 线路 租用 费 及 长 途 电 话费 。 于 
是 ,虚拟 专用 网 (VPN) 的 概念 与 市 场 随 之 出 现 。 利 用 VPN 网 络 能 够 获得 语音 、 视 频 方面 的 
服务 ,如 IP 电话 业务 、 电 视 会 议 、 远 程 教学 ,甚至 证 券 行业 的 网 上 路 演 、 网 上 交易 等 。 


11.1 VPN 的 基本 概念 


早 在 1993 年 ,欧洲 虚拟 专用 网 联盟 (EVUA) 就 成 立 了 ,力图 在 全 欧洲 范围 内 推广 VPN, 但 
那 时 的 VPN 还 主要 是 一 个 技术 名 词 ,VPN 服务 的 真正 发 展 还 是 近 几 年 的 事 。Internet 是 目前 
世界 上 最 大 和 使 用 最 广泛 的 网 络 , 它 所 采用 的 IP 技术 包容 性 好 ,同时 又 是 业界 比较 流行 的 通 
信 机 制 。 另 外 ,Internet 的 迅猛 发 展 为 VPN 提供 了 技术 基础 ,全 球 化 的 企业 为 VPN 提供 了 市 
场 。 正 是 基于 上 述 理由 ,业内 人 士 认为 基于 全 的 VPN 具有 非常 广阔 的 发 展 前 景 。 

VPN 可 分 为 传统 意义 的 VPN 和 IP VPN。 所 谓 传统 意义 上 的 VPN, 即 在 DDN 网 或 
公用 分 组 交换 网 或 帧 中 继 网 上 组 建 VPN ,并 具有 一 个 共同 的 特点 , 即 利 用 DDN 网 或 公用 分 
组 交换 网 或 帧 中 继 网 的 部 分 网 络 资源 如 传输 线路 、 网 络 模块 .网 络 端口 等 划分 成 一 个 分 区 ， 
并 设置 相对 独立 的 网 络 管理 机 构 , 对 分 区 内 的 数据 流量 及 各 种 资源 进行 管理 ,分 区 内 的 各 节 
点 共享 分 区 内 的 网 络 资源 ,它们 之 间 的 数据 处 理 和 传送 相对 独立 ,就 好 像 真 正 的 专用 网 一 
样 。 所 谓 IP VPN 是 依靠 ISP 和 其 他 NSP( 网 络 服务 提供 商 ) 在 公用 网 络 中 建立 专用 的 数据 
通信 网 络 的 技术 。 其 中 ,IETF 草案 基于 IP VPN 的 理解 是 “使 用 IP 机制 仿真 出 一 个 私有 的 
广域网 ”, 即 通过 私有 的 隧道 技术 在 公共 数据 网 络 上 仿真 一 条 点 到 点 的 专线 技术 。 所 谓 “ 虚 
拟 ? 是 指 用 户 不 再 需要 拥有 实际 的 长 途 数 据 线路 ,而 是 使 用 Internet 公众 数据 网 络 的 长 途 数 
据 线 路 。 所 谓 “ 专 用 网 络 ” 是 指 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 尽 管 
VPN 有 上 述 区 分 ,但 目前 业界 所 讨论 的 主要 是 基于 IP 的 VPN。 


11.1.1 VPN 的 工作 原理 


顾名思义 ,虚拟 专用 网 络 (Virtual Private Network,VPN) 可 以 理解 为 虚拟 出 来 的 企业 内 部 
专线 。 它 可 以 通过 特殊 加 密 的 通信 协议 在 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 
条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 , 但 是 它 并 不 需要 真正 地 去 铺设 光缆 之 类 的 
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物理 线路 。 这 就 好 比 去 电信 局 申请 专线 ,但 是 不 用 给 铺设 线路 的 费用 ,也 不 用 购买 路 由 器 等 硬 
件 设备 。VPN 技术 原 是 路 由 器 具有 的 重要 技术 之 一 ,目前 在 交换 机 、 防 火 墙 设备 或 操作 系统 
软件 里 都 支持 VPN 功能 。 综 上 所 述 ,VPN 的 核心 就 是 在 利用 公共 网 络 建立 虚拟 私有 网 。 

VPN 是 指 依 靠 ISP 或 其 他 NSP 在 公用 网 络 基础 设施 之 上 构建 的 专用 的 数据 通信 网 
络 ,这 里 所 指 的 公用 网 络 有 多 种 ,包括 IP 网 络 、 帧 中 继 网 络 和 ATM 网 络 。 

IETF 对 基于 IP 的 VPN 定义 : 使 用 IP 机 制 仿真 出 一 个 私有 的 广域网 。 

从 原理 上 来 说 ,VPN 就 是 利用 公用 网 络 ( 通 隧道 
常 是 因特网 ) 把 远程 站 点 或 用 户 连接 到 一 起 的 专 CE 
用 网 络 ,与 使 用 实际 的 专用 连接 (如 租用 线路 ) 不 国生 地 
同 ,VPN 使 用 的 是 通过 因特网 路 由 的 “虚拟 "连接 
把 公司 的 专用 网 络 同 远程 站 点 或 员工 连接 到 一 
起 ,如 图 11.1 所 示 。 图 11.1 VPN 工作 原理 示意 图 

VPN 采用 “隧道 ”技术 ,可 以 模仿 点 对 点 连接 
技术 ,依靠 Internet 服务 提供 商 (ISP) 和 其 他 的 网 络 服务 提供 商 (NSP) 在 公用 网 中 建立 自己 
专用 的 “隧道 ", 让 数据 包 通过 这 条 隧道 传输 。 对 于 不 同 的 信息 来 源 , 可 分 别 给 它们 开 出 不 同 
的 隧道 。 


11.1.2 VPN 的 分 类 


VPN 的 分 类 方法 比较 多 ,实际 使 用 中 ,需要 通过 客户 机 与 服务 器 端的 交互 实现 认证 与 
隧道 的 建立 。 基 于 二 层 、 三 层 的 VPN 都 需要 安装 专门 的 客户 机 系统 (硬件 或 软件 ), 完 成 
VPN 相关 的 工作 。 

一 个 VPN 解决 方案 不 仅仅 是 一 个 经 过 加 密 的 隧道 , 它 还 包含 访问 控制 ,认证 ,加 密 、 隧 
道 传输 、 路 由 选择 、 过 滤 、 高 可 用 性 、 服 务 质 量 及 管理 。 

VPN 系统 大 体 分 为 四 部 分 : 专用 的 VPN 硬件 、 支 持 VPN 的 硬件 或 软件 防火 墙 \VPN 
软件 和 VPN 服务 提供 商 。 

1. 按 VPN 的 接 入 方式 进行 分 类 

一 般 情 况 下 ,用 户 可 能 是 用 网 络 专线 连接 因特网 ,也 可 能 是 通过 电话 拨号 连接 因特网 。 
建立 在 IP 网 上 的 VPN 也 就 对 应 两 种 接 入 方式 : 专线 接 人 方式 和 拨号 接 人 方式 。 

(1) 专线 VPN: 是 为 已 经 通过 专线 接 入 ISP 边缘 路 由 器 的 用 户 提供 的 VPN 解决 方案 。 
这 是 一 种 “永远 在 线 ” 的 VPN ,可 以 节省 传统 的 长 途 专线 费用 。 

(2) 拨号 VPN( 又 称 VPDN): 它 是 向 利用 拨号 PSTN 或 ISDN 接 入 ISP 的 用 户 提供 的 
VPN 业务 。 这 是 一 种 “ 按 需 连接 ”的 VPN ,可 以 节省 用 户 的 长 途 电话 费用 。 需 要 指出 的 是 ， 
因为 用 户 一 般 是 漫游 用 户 ,是 “ 按 需 连接 ”的 ,因此 VPDN 通常 需要 做 身份 认证 。 

2. 按 VPN 的 应 用 平台 分 类 


VPN 的 应 用 平台 分 为 三 类 : 软件 平台 、 专 用 硬件 平台 及 辅助 硬件 平台 。 

(1) 软件 平台 VPN: 当 对 数据 连接 速率 要 求 不 高 ,对 性 能 和 安全 性 需求 不 强 时 ,可 以 利 
用 一 些 软 件 公 司 所 提供 的 完全 基于 软件 的 VPN 产品 来 实现 简单 的 VPN 功能 。 

(2) 专用 硬件 平台 VPN: 使 用 专用 硬件 平台 的 VPN 设备 可 以 满足 企业 和 个 人 用 户 对 
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提高 数据 安全 及 通信 性 能 的 需求 ,尤其 是 从 通信 性 能 的 角度 来 看 ,指定 的 硬件 平台 可 以 完成 
数据 加 密 ,数据 乱 码 等 对 CPU 处 理 能 力 需 求 很 高 的 功能 。 提 供 这 些 平台 的 硬件 厂商 比较 
多 ,如 川 大 能 士 `Nortel Cisco 和 3Com 等 。 

(3) 辅助 硬件 平台 VPN: 这 类 VPN 介 于 软件 平台 VPN 和 专用 硬件 平台 VPN 之 间 。 辅 助 
硬件 平台 VPN 主要 是 指 以 现 有 网 络 设 备 为 基础 ,再 增加 适当 的 VPN 软件 以 实现 VPN 的 功能 。 

3. 按 VPN 的 协议 分 类 

按 VPN 协议 方面 分 类 主要 是 指 按 构建 VPN 的 隧道 协议 分 类 。VPN 的 隧道 协议 可 分 
为 第 二 层 、 第 三 层 、. 第 二 层 一 第 三 层 (2. 5 层 )、 第 四 层 隧道 协议 。 

(1) 第 二 层 隧 道 协 议 : 包括 点 到 点 隧道 协议 (PPTP) ,第 二 层 转发 协议 (L2F) ,第 二 层 隧 
道 协 议 (L2TP) 多 协议 标记 交换 (MPLS) 等 。 

(2) 第 三 层 隧道 协议 : 包括 通用 路 由 封装 协议 (GRE) \IP 安全 (IPSec)。 这 是 目前 最 流 
行 的 两 种 三 层 协议 。 

第 二 层 和 第 三 层 隧道 协议 的 区 别 主要 在 于 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封装 ,其 
中 GRE IPSec 和 MPLS 主要 用 于 实现 专线 VPN 业务 ,L2TP 主要 用 于 实现 拨号 VPN 业 
务 ( 但 也 可 以 用 于 实现 专线 VPN 业务 ) ,当然 这 些 协议 之 间 本 身 不 是 冲突 的 ,而 是 可 以 结合 
使 用 的 。 各 层 隧道 协议 的 内 容 在 11. 2 节 将 详细 介绍 。 

4. 按 VPN 的 服务 类 型 分 类 

根据 服务 类 型 , VPN 业务 按 用 户 需 求 定义 有 3 种 : Intranet VPN、Access VPN 和 
Extranet VPN 。 

(1) Intranet VPN( 内 部 网 VPN) : 企业 的 总 部 与 分 支 机 构 间 通过 公 网 构筑 的 虚拟 网 。 
这 种 类 型 的 连接 带 来 的 风险 最 小 ,因为 公司 通常 认为 他 们 的 分 支 机 构 是 可 信 的 ,并 将 它 作 为 
公司 网 络 的 扩展 。 内 部 网 VPN 的 安全 性 取决 于 两 个 VPN 服务 器 之 间 的 加 密 和 验证 手段 。 
内 部 网 VPN 的 结构 如 图 11. 2 所 示 。 
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11.2 内 部 网 VPN 结构 示意 图 


(2) Access VPN( 远 程 访 问 VPN): 又 称 为 拨号 VPN( 即 VPDN), 是 指 企 业 员工 或 企 
业 的 小 分 支 机 构 通过 公 网 远程 拨号 的 方式 构筑 的 虚拟 网 。 典 型 的 远程 访问 VPN 是 用 户 通 
过 本 地 的 信息 服务 提供 商 登 录 到 因特网 上 .并 在 现 有 的 办 公 室 和 公司 内 部 网 之 间 建 立 一 条 
加 密 信道 。 远 程 访问 VPN 的 结构 如 图 11. 3 所 示 。 

(3) Extranet VPN( 外 联网 VPN): 企业 间 发 生 收 购 、 兼 并 或 企业 间 建 立 战略 联盟 后 ， 
使 不 同 企业 网 通过 公 网 来 构筑 的 虚拟 网 。 它 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 
服务 的 安全 ,如 E-mail、.HTTP、FTP、RealAudio、 数 据 库 的 安全 ,以 及 一 些 应 用 程序 (如 
Java、ActiveX) 的 安全 。 外 联网 VPN 的 结构 如 图 11.4 所 示 。 


274 计算 机 信息 安全 技术 (第 2 版 ) 















图 11.3 远程 访问 VPN 的 结构 示意 图 
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5. 按 VPN 的 部 署 模式 分 类 

VPN 可 以 通过 部 署 模式 来 区 分 ,部 署 模 式 从 本 质 上 描述 了 VPN 的 通道 是 如 何 建立 和 
终止 的 ,一 般 有 3 种 VPN 部 署 模式 。 

(1) 端 到 端 (End-to-End) 模 式 : 典型 的 由 自 建 VPN 的 客户 所 采用 的 模式 ,最 常见 的 隧 
道 协议 是 IPSec 和 PPTP。 

(2) 供应 商 - 企 业 (Provider-Enterprise) 模 式 : 隧道 通常 在 VPN 服务 器 或 路 由 器 中 创 
建 ,在 客户 前 端 关 闭 。 在 该 模式 中 ,客户 不 需要 购买 专门 的 隧道 软件 ,由 服务 商 的 设备 来 建 
立 通道 并 验证 。 最 常见 的 隧道 协议 有 L2TP、L2F 和 PPTP。 

(3) 内 部 供应 商 (Intra-Provider) 模 式 : 服务 商 保持 了 对 整个 VPN 设施 的 控制 。 在 该 


模式 中 ,通道 的 建立 和 终止 都 是 在 服务 商 的 网 络 设施 中 实现 的 。 客 户 不 需要 做 任何 实现 
VPN 的 工作 。 


11.1.3 VPN 的 特点 与 功能 


随 着 商务 活动 的 日 益 频繁 ,各 企业 开始 允许 其 生意 伙伴 、 供 应 商 访 问 本 企业 的 局 域 网 ， 
简化 信息 交流 的 途径 ,增加 信息 交换 速度 。 这 些 合 作 和 联系 是 动态 的 ,并 依靠 网 络 来 维持 和 
加 强 ,于 是 各 企业 发 现 ,这 样 的 信息 交流 不 但 带 来 了 网 络 的 复杂 人 性 ,还 带 来 了 管理 和 安全 性 
的 问题 ,因为 Internet 是 一 个 全 球 性 和 开放 性 的 、 基 于 TCP/IP 技术 的 不 可 管理 的 国际 互 
联网 络 。 因 此 ,基于 Internet 的 商务 活动 就 面临 非 善 意 的 信息 威胁 和 安全 隐患 。 还 有 一 类 
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用 户 , 随 着 自身 的 发 展 壮 大 与 跨国 化 ,企业 的 分 支 机 构 不 仅 越 来 越 多 ,而 且 相 互 间 的 网 络 基 
础 设施 互 不 兼容 也 更 为 普遍 。 同 时 ,用 户 的 信息 技术 部 门 在 连接 分 支 机 构 方面 也 感到 日 益 
棘手 。 

Access VPN、Intranet VPN 和 Extranet VPN 为 用 户 提供 了 3 种 VPN 组 网 方式 ,但 在 
实际 应 用 中 ,用 户 所 需要 的 VPN 又 应 当 具 备 哪 些 特点 呢 ? 一 般 而 言 ,一 个 高 效 、 成 功 的 
VPN 应 具备 以 下 几 个 主要 特点 。 

1. 具备 完善 的 安全 保障 机 制 

虽然 实现 IP VPN 的 技术 和 方式 很 多 ,但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平 台 传输 
数据 的 专用 性 和 安全 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 ,点 对 点 的 连接 ， 
称 为 建立 一 个 隧道 ,可 以 利用 加 密 技 术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 仅 被 指 
定 的 发 送 者 和 接收 者 了 解 ,从 而 保证 了 数据 的 私有 性 和 安全 性 。 在 安全 性 方面 ,由 于 VPN 
直接 构建 在 公用 网 上 ,实现 简单 方便、 灵活 ,但 同时 其 安全 问题 也 更 为 突出 。 企 业 必 须 确 保 
其 VPN 上 传送 的 数据 不 被 攻击 者 窥视 和 算 改 ,并 且 要 防止 非法 用 户 对 网 络 资源 或 私有 信 
息 的 访问 。Extranet VPN 将 企业 网 扩展 到 合作 伙伴 和 客户 ,对 安全 性 提出 了 更 高 的 要 求 。 

2. 具备 用 户 可 接受 的 服务 质量 保证 (QoS) 

IP VPN 应 当 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 ,不 同 的 用 户 和 业务 对 服务 质 
量 保证 的 要 求 差 别 较 大 。 例 如 ,对 于 移动 办 公用 户 , 提 供 广泛 的 连接 和 覆盖 性 是 Access 
VPN 保证 服务 的 一 个 主要 因素 。 而 对 于 拥有 众多 分 支 机 构 的 Intranet VPN 或 基于 多 家 合 
作 伙伴 的 Extranet VPN 而 言 ,能够 提供 良好 的 网 络 稳定 性 是 满足 交互 式 的 企业 网 应 用 首 
要 考虑 的 问题 。 另 外 ,对 于 其 他 诸如 视频 等 具体 应 用 则 对 网 络 提出 了 更 明确 的 要 求 , 包 括 网 
络 时 延 及 误 码 率 等 。 所 有 以 上 网 络 应 用 均 要 求 VPN 网 络 根据 需要 提供 不 同等 级 的 服务 质 
量 。 在 网 络 优化 方面 ,构建 VPN 的 另 一 个 重要 需求 是 充分 有 效 地 利用 有 限 的 广域网 资源 ， 
为 重要 数据 提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 较 低 ,在 流量 高 峰 
时 引起 网 络 拥塞 ,产生 网 络 瓶 颈 , 难 于 满足 实时 性 要 求 高 的 业务 服务 质量 保证 ; 而 在 流量 低 
谷 时 又 造成 大 量 的 网 络 带宽 空 闪 。QoS 通过 流量 预测 与 流量 控制 策略 ,可 以 按照 优先 级 分 
配 带宽 资源 ,实现 带宽 优化 管理 ,使 得 各 类 数据 能 够 被 合理 地 先后 发 送 ,并 预防 拥塞 的 发 生 。 

3. 具备 良好 的 可 扩充 性 与 灵活 性 

IP VPN 必须 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 , 方 便 增加 新 的 
节点 ,支持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传 
输 及 带宽 增加 的 需求 。 

4. 具备 完善 的 可 管理 性 

在 IP VPN 管理 方面 ,要 求 企业 将 其 网 络 管理 功能 从 局 域 网 无 颖 地 延伸 到 公用 网 ,甚至 
是 客户 和 合作 伙伴 。 尽 管 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ,但 企业 
自己 仍 需 要 完成 许多 网 络 管理 任务 ,所 以 ,一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。VPN 
管理 的 目标 为 减 小 网 络 风险 .具有 高 扩展 性 、 经 济 性 、 高 可 靠 性 等 优点 。 事 实 上 ,VPN 管理 
主要 包括 安全 管理 .设备 管理 .配置 管理 .访问 控制 列表 管理 .QoS 管理 等 内 容 。 

由 此 可 见 ,VPN 的 基本 功能 至 少 应 包括 以 下 几 个 方面 。 

(1) 加 密 数 据 。 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 
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(2) 信息 验证 和 身份 认证 。 保 证 信息 的 完整 性 、 合 理性 ,并 能 鉴别 用 户 的 身份 。 

(3) 访问 控制 。 不 同 的 用 户 有 不 同 的 访问 权限 。 

(4) 地 址 管理 。VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安 
全 性 。 

(5) 密 钥 管理 。VPN 方案 必须 能 够 生成 并 更 新 客户 机 和 服务 器 的 加 密 密 钥 。 

(6) 多 协议 支持 。VPN 方案 必须 支持 公共 因特网 上 普遍 使 用 的 基本 协议 ,包括 IP、 
IPX 等 。 


11.1.4 VPN 安全 技术 


由 于 IP VPN 是 在 不 安全 的 Internet 中 进行 通信 ,而 通信 的 内 容 可 能 涉及 企业 的 机 密 
数据 ,因此 其 安全 性 就 显得 非常 重要 ,必须 采取 一 系列 的 安全 机 制 来 保证 VPN 的 安全 。IP 
VPN 的 安全 机 制 通常 由 加 密 /解密 技术 、 密 钥 管 理 技术 和 认证 技术 组 成 。 

1. 加 密 、 解 密 技术 

在 VPN 中 为 了 保证 重要 的 数据 在 公共 网 上 传输 时 不 被 他 人 窃取 ,采用 了 加 密 机 制 。 
在 现代 密码 学 中 ,加 密 算法 被 分 为 对 称 加 密 算法 和 非 对 称 加 密 算法 。 

对 称 加 密 算法 采用 同一 密 钥 进行 加 密 和 解密 ,优点 是 速度 快 ,但 密 钥 的 分 发 与 交换 不 便 
于 管理 。 而 采用 非 对 称 加 密 算法 进行 加 密 时 ,通信 各 方 使 用 两 个 不 同 的 密 钥 ,一 个 是 只 有 发 
送 方 知道 的 私人 密 钥 , 另 一 个 则 是 对 应 的 公开 密 钥 。 私 人 密 钥 和 公开 密 钥 在 加 密 算法 上 成 
对 出 现 , 一 个 用 于 数据 加 密 , 另 一 个 用 于 数据 解密 。 非 对 称 加 密 还 有 一 个 重要 用 途 , 即 数字 
签名 。 

2. 认证 技术 

认证 技术 可 以 用 来 保证 数据 避免 被 伪造 , 算 改 ,这 对 于 网 络 数据 传输 ,特别 是 电子 商务 
是 极其 重要 的 。 认 证 协议 一 般 都 要 采用 一 种 称 为 摘要 的 技术 。 摘 要 技术 主要 采用 哈 希 函数 
将 一 段 长 的 报 文通 过 函数 变换 映射 为 一 段 短 的 报 文 , 即 摘要 。 由 于 哈 希 函数 的 特性 ,使 得 要 
找到 两 个 不 同 的 报 文具 有 相同 的 摘要 是 困难 的 。 该 特性 使 得 摘要 技术 在 VPN 中 有 两 个 
用 途 。 

(1) 验证 数据 的 完整 性 。 发 送 方 将 数据 报 文 和 报 文摘 要 一 同 发 送 , 接 收 方 通过 计算 报 
文摘 要 与 发 来 数据 报 文 比较 ,相同 则 说 明 数 据 报 文 未 经 修改 。 由 于 在 报 文摘 要 的 计算 过 
程 中 一 般 是 将 一 个 双方 共享 的 秘密 信息 连接 上 实际 报 文 一 同 参 与 摘要 的 计算 ,因此 不 知 
道 秘密 信息 将 很 难 伪 造 一 个 匹配 的 摘要 ,从 而 保证 了 接收 方 可 以 辨认 出 伪造 或 自 改 过 的 
报 文 。 

(2) 用 户 认 证 。 该 功能 实际 上 是 验证 数据 的 完整 性 功能 的 延伸 。 当 一 方 希望 验证 对 
方 ,但 又 不 希望 验证 秘密 在 网 络 上 传送 。 这 时 一 方 可 以 发 送 一 段 随机 报 文 ,要 求 对 方 将 秘密 
信息 连接 上 该 报 文 作 摘 要 后 发 回 ,接收 方 可 以 通过 验证 摘要 是 否 正确 来 确定 对 方 是 否 拥有 
秘密 信息 ,从 而 达到 验证 对 方 的 目的 。 

3. 密 钥 管理 技术 

VPN 中 无 论 是 认证 还 是 加 密 都 需要 秘密 信息 ,因而 密 钥 的 分 发 与 管理 显得 非常 重要 。 
密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 手工 配置 的 方式 ; 另 一 种 是 采用 密 钥 交换 协议 ,动态 
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分 发 。 手 工 配置 的 方法 由 于 密 钥 更 新 困难 ,只 适合 于 简单 网 络 的 情况 。 密 钥 交 换 协议 采用 
软件 方式 动态 生成 密 钥 ,适合 于 复杂 网 络 的 情况 且 密 钥 可 快速 更 新 ,可 以 显著 地 提高 VPN 
的 安全 性 。 


11.2 VPN 实现 技术 


VPN 现 有 的 实现 都 依赖 于 隧道 ,隧道 技术 又 称 为 Tunneling。 主 要 是 利用 协议 的 封装 
来 实现 ,用 一 种 网 络 协议 来 传输 另外 一 种 网 络 协议 。 也 就 是 说 ,在 本 地 网 关 把 第 二 种 协议 报 
文 包含 在 第 一 种 协议 报 文中 ,然后 按照 第 一 种 协议 来 传输 ,等 报 文 到 达 对 端 网 关 时 ,由 该 网 
关 从 第 一 种 协议 报 文中 解析 出 第 二 种 协议 报 文 ,这 是 一 个 基本 的 隧道 技术 的 实现 过 程 。 

对 于 两 个 网 关 之 外 的 用 户 , 可 以 忽视 使 用 隧道 技术 的 影响 ,对 他 们 来 说 是 透明 传输 的 。 
隧道 技术 的 应 用 为 VPN 的 实现 提供 了 许多 优良 的 特性 ,不 仅 扩大 了 VPN 的 应 用 面 ,而 且 
为 利用 VPN 组 网 提供 了 极 大 的 灵活 性 。 


11.2.1 第 二 层 隧道 协议 

在 这 一 层 的 VPN 实现 中 共有 3 种 方法 : PPTP(Point to Point Tunneling Protocol, 点 
到 点 隧道 协议 )、L2TP(Layer 2 Tunneling Protocol, 链 路 层 隧 道 协 议 ) 和 L2F (Layer 2 
Forwarding , 链 路 层 转发 协议 ) 。 

1. PPTP 

PPTP 由 PPTP Forum 开发 ,PPTP Forum 是 一 个 联盟 ,其 成 员 包 括 US Robotics、 
Microsoft、3COM、Ascend 和 ECI Telematics。PPTP 是 点 到 点 协议 (PPP) 的 扩充 , 即 PPTP 
协议 是 基于 PPP 之 上 并 且 应 用 了 Tunneling 技术 的 协议 。 它 用 “PPP 质询 握手 验证 协议 
(CHAP)” 来 实现 对 用 户 的 认证 。 简 单 地 说 ,PPTP 是 用 于 将 PPP 分 组 通过 IP 网 络 封装 传 


输 , 如 图 11.5 所 示 。 
Se 
拨号 1 
et 


IP 网 络 
图 11.5 PPTP 工作 示意 图 


在 PPTP 的 体系 结构 中 ,主要 由 以 下 三 部 分 组 成 。 

(1) PPP 连接 和 通信 。 按 照 PPP 协议 和 对 方 建立 链 路 层 的 连接 。 

(2) PPTP 控制 连接 。 建 立 到 Internet 的 PPTP 服务 器 上 的 连接 ,并 建立 一 个 虚拟 
隧道 。 
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(3) PPTP 数据 隧道 。 在 隧道 中 PPTP 协议 建立 包含 加 密 的 PPP 包 的 IP 数据 报 , 这 些 
数据 报 通过 PPTP 隧道 进行 发 送 。 

第 二 个 和 第 三 个 过 程 都 取决 于 它们 前 一 个 过 程 的 成 功 。 如 果 有 一 个 失败 了 , 则 整个 过 
程 必须 重 来 。 

PPTP 使 用 一 个 TCP 连接 对 隧道 进行 维护 ,使 用 通用 路 由 封装 (GRE) 技 术 把 数据 封装 
成 PPP 数据 帧 ,然后 再 通过 隧道 传送 。 可 以 对 封装 PPP 帧 中 的 负载 数据 进行 加 密 和 压缩 ， 
如 图 11.6 所 示 。 
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封装 在 GRE 帧 
中 并 添加 IP 头 




















IP GRE ppp | IP TCP/UDP | 用户 数据 








图 11.6 PPTP 协议 帧 结构 


2. L2F 


该 协议 是 由 CISCO 提出 并 倡导 使 用 的 链 路 层 安 全 协议 ,当然 它 也 采用 了 Tunneling 技 
术 ,主要 面向 远程 或 拨号 用 户 的 使 用 。 

L2F 主要 强调 的 是 将 物理 层 协议 移 到 链 路 层 , 并 允许 通过 Internet 光缆 的 链 路 层 和 较 
高 层 协议 进行 传输 。 物 理 层 协议 仍然 保持 在 对 该 ISP 的 拨号 连接 中 。 一 旦 建立 连接 ,L2F 
将 通过 在 保持 初始 拨号 服务 器 位 置 不 可 见 的 Internet 中 的 虚拟 隧道 传送 包含 验证 ,授权 和 
记 账 信息 的 数据 包 。 该 用 户 只 能 看 见 连 接 被 终止 的 那个 网 络 , 即 公司 的 LAN。 

L2F 还 解决 IP 写 地 址 和 记 账 的 问题 , 它 对 可 靠 地 处 理 这 两 个 问题 提供 建议 和 基础 。 

对 于 ISP 的 初始 连接 ,L2F 将 使 用 标准 PPP。 对 于 验证 ,L2F 将 使 用 标准 CHAP ,或 者 
做 某 些 修改 。 对 于 封装 ,L2F 指定 在 L2F 数据 报 中 封装 整个 PPP 或 SLIP 包 所 需要 的 协 
议 。 同 时 这 些 操 作 尽 可 能 地 对 用 户 透 明 ,以 方便 应 用 L2F 来 构建 灵活 的 VPN 网 络 。 

3. L2TP 

通过 以 上 说 明 , 可 以 看 到 PPTP 协议 和 L2F 协议 尽管 有 很 多 不 同 , 但 是 二 者 却 部 分 兼 
容 。 为 此 ,由 PPTP Forum 各 成 员 、 思 科 公 司 和 IETF( 因 特 网 工程 工作 组 ) 联 手打 造 了 一 个 
新 的 协议 一 一 L2TP。 它 不 仅 提 供 了 以 CHAP 为 基础 的 用 户 身 份 认证 ,支持 对 内 部 地 址 的 
分 配 ,而 且 还 提供 了 灵活 有 效 的 记 账 功能 和 较为 完善 的 管理 功能 。 

在 链 路 层 上 实现 VPN 有 一 定 的 优点 。 假 定 两 个 主机 或 路 由 器 之 间 存 在 一 条 专用 通信 
链 路 ,而 且 为 避免 有 人 “窥视 ", 所 有 通信 都 需 加 密 , 数 据 加 密 可 用 硬件 设备 来 进行 。 这 样 做 
最 大 的 好 处 在 于 速度 的 提高 。 

然而 ,在 链 路 层 上 实现 VPN 也 有 一 定 的 缺点 :该 方案 不 易 扩 展 , 而 且 仅 在 专用 链 路 上 
才能 很 好 地 工作 。 另 外 ,进行 通信 的 两 个 实体 必须 在 物理 上 连接 到 一 起 。 这 也 给 在 链 路 层 
上 实现 VPN 带 来 了 一 定 的 难度 。 
PPTP、L2F 和 L2TP 这 3 种 协议 都 是 运行 在 链 路 层 中 的 ,通常 是 基于 PPP 协议 的 ,并 
且 主 要 面向 的 是 拨号 用 户 , 由 此 导致 了 这 3 种 协议 应 用 的 局 限 性 。 
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而 当前 在 Internet 及 其 他 网 络 中 , 绝 大 部 分 的 数据 都 是 通过 IP 协议 来 传输 的 ,逐渐 形 
成 了 一 种 “Everything on IP” 的 观点 ,而 基于 IP 的 VPN 技术 则 是 近来 在 网 络 安全 领域 迅速 
发 展 的 IPSec。 

PPTP 与 L2TP 均 使 用 PPP 协议 对 数据 进行 封装 ,然后 添加 附加 包头 用 于 数据 在 网 络 
中 传输 。 虽 然 它们 有 很 多 相似 的 功能 ,但 仍然 存在 以 下 一 些 区 别 。 

(1) PPTP 要 求 因特网 为 IP 网 络 ,而 L2TP 能 够 在 IP、X. 25 和 ATM 等 网 络 上 使 用 。 

(2) PPTP 只 能 在 两 端点 间 建 立 单一 隧道 ,L2TP 可 以 在 两 个 端点 之 间 建 立 多 个 隧道 。 
用 户 可 根据 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) PPTP 不 支持 隧道 验证 ,L2TP 提供 了 此 项 功能 。 可 通过 与 IPSec 共同 使 用 ,由 
IPSec 提供 隧道 认证 。 


11.2.2 第 三 层 隧道 协议 


在 网 络 层 的 实现 中 ,有 两 种 常用 的 实现 方式 : GRE 和 IPSec。 

1. GRE(Generic Routing Encapsulation, 通 用 路 由 封装 协议 ) 

GRE 是 对 某 些 网 络 层 协议 (如 IP 和 IPX) 的 数据 报 进行 封装 ,使 这 些 被 封装 的 数据 报 
能 够 在 另 一 个 网 络 层 协议 (如 IP) 中 传输 。GRE 提供 了 将 一 种 协议 的 报 文 封装 在 另 一 种 协 
议 报 文中 的 机 制 。 

GRE 是 VPN 的 第 三 层 隧道 协议 , 即 在 协议 层 之 间 采 用 了 一 种 被 称 为 Tunnel( 隧 道 ) 的 
技术 。Tunnel 是 一 个 虚拟 的 点 对 点 连接 ,在 实际 中 可 以 看 成 是 仅 支持 点 对 点 连接 的 虚拟 接 
口 ,这 个 接口 提供 了 一 条 通路 ,使 封装 的 数据 报 能 够 在 这 个 通路 上 传输 ,使 报 文 能 够 在 异种 
网 络 中 传输 ,异种 报 文 传输 的 通道 称 为 Tunnel。 并 且 在 一 个 Tunnel 的 两 端 分 别 对 数据 报 
进行 封装 及 解 封 。 

GRE 在 RFC1701/RFC1702 中 定义 ,具体 结构 如 图 11.7 所 示 , 它 规定 了 怎样 用 一 种 网 
络 层 协议 去 封装 另 一 种 网 络 层 协议 的 方法 。GRE 的 隧道 由 其 源 IP 地 址 和 目的 IP 地 址 来 
定义 。 它 允许 用 户 使 用 IP 去 封装 IP、IPX、AppleTalk, 并 支持 全 部 的 路 由 协议 ,如 RIP、 
OSPF IJGRP 和 EIGRP。 通 过 GRE 封装 ,用 户 可 以 利用 公用 IP 网 络 去 连接 IPX 网 络 、 
AppleTalk 网 络 , 以 及 使 用 保留 地 址 进行 网 络 互 联 , 或 者 对 公 网 隐藏 企业 网 的 IP 地 址 。 








IP | GRE | IPX 











一 一 乘客 协议 (Passenger Protocol) 





运载 协议 或 封装 协议 


(Carrier Protocol, or Encapsulation Protocol) 





运输 协议 (Transport Protocol) 
图 11.7 GRE 协议 
它 的 运行 过 程 通常 是 这 样 的 ， 当 路 由 器 接收 了 一 个 需要 封装 的 上 层 协议 数据 报 文 , 首 


先 这 个 报 文 按照 GRE 协议 的 规则 被 封装 在 GRE 协议 报 文中 ,而 后 再 交 给 IP 层 ,由 IP 层 再 
封装 成 IP 协议 报 文 便于 网 络 的 传输 ,等 到 达 对 端的 GRE 协议 处 理 网 关 时 ,按照 相反 的 过 程 
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处 理 , 就 可 以 得 到 所 需 的 上 层 协 议 的 数据 报 文 了 。 

标准 的 GRE 在 虚拟 通道 中 的 数据 是 没有 进行 加 密 传输 的 ,一 旦 数据 被 截获 ,重要 数据 
将 有 失 密 的 危险 。 而 与 GRE 相 比 ,IPSec 只 能 进行 通道 内 的 数据 加 密 , 无 法 在 Internet 上 
建立 虚拟 的 通道 互联 ,使 异地 的 两 个 局 域 网 像 访 问 本 地 网 一 样 方便 ; 也 无 法 在 加 密 的 数据 
连接 上 采用 路 由 协议 ,网 络 管理 很 不 方便 。 所 以 GRE 十 IPSec 联合 应 用 方式 成 为 实际 中 
VPN 建 网 的 首选 。 

但 标准 GRE 需要 建立 隧道 的 两 端 设备 的 IP 地 址 固定 ,这 就 要 求 隧道 两 端的 设备 都 是 
采用 类 似 专 线 的 线路 进行 互联 ,一 旦 某 一 端 是 PSTN/ISDN/ADSL 接 人 ,由 于 接 人 端 IP 地 
址 不 固定 ,将 无 法 建立 连接 。 

GRE 的 优点 是 为 网 络 的 互联 提供 了 一 些 解决 手段 , 它 可 以 解决 数据 在 多 协议 网 络 中 
传输 的 困难 ,可 以 将 无 法 连续 的 子 网 连接 起 来 ,同时 还 可 以 扩大 某 些 类 型 网 络 的 工作 
范围 。 

2. IPSec(IP Security,IP 安全 协议 ) 

IPSec 实际 上 是 一 套 协 议 包 而 不 是 一 个 独立 的 协议 ,这 一 点 对 于 认识 IPSec 是 很 重要 
的 。 从 1995 年 开始 IPSec 的 研究 以 来 ,IETF IPSec 工作 组 在 它 的 主页 上 发 布 了 几 十 个 
Internet 草案 文献 和 12 个 RFC 文件 。 其 中 ,比较 重要 的 有 RFC2409 IKE( 因 特 网 密 钥 交 
换 )、RFC2401 IPSec 协议 .RFC2402 AH 验证 包头 、RFC2406 ESP 加 密 数据 等 文件 。 

IPSec 位 于 网 络 层 ,对 通信 双方 的 IP 数据 分 组 进行 保护 和 认证 ,对 高 层 应 用 透明 。 
IPSec 能 够 保证 IP 网 络 上 数据 的 保密 性 、 完 整 性 ,并 提供 身份 认证 。IPSec 拥有 密 钥 自 动 管 
理 功 能 , 优 于 PPTP/L2TP。 

IPSec 提供 了 下 列 网 络 安全 性 服务 ,而 这 些 服务 是 可 选 的 。 通 常 ,本 地 安全 策略 将 规定 
使 用 下 列 这 些 服务 的 一 种 或 多 种 。 

(1) 数据 机 密 性 : IPSec 发 送 方 在 通过 网 络 传输 IP 包 前 对 包 进 行 加 密 , 用 来 确保 在 数 
据 的 传输 过 程 中 不 被 第 三 方 偷窥 。 

(2) 数据 完整 性 : IPSec 接收 方 对 发 送 方 发 送 来 的 包 进行 认证 ,以 确保 数据 在 传输 过 程 
中 没有 被 算 改 。 

(3) 数据 来 源 认证 : IPSec 接收 方 对 IPSec 包 的 来 源 进行 认证 , 即 对 连接 用 户 的 身份 进 
行 认证 。 

(4) 抗 重 放 : 一 种 安全 性 服务 ,使 得 接收 者 可 以 拒绝 接收 过 时 包 或 包 复制 ,以 保护 自己 
不 被 攻击 。IPSec 用 一 个 序列 号 来 提供 这 一 可 选 服务 ,以 配合 数据 认证 的 使 用 。 

有 了 IPSec, 数 据 在 通过 公共 网 络 传输 时 就 不 用 担心 被 监视 、 算 改 和 伪造 。 这 使 得 虚拟 
专用 网 络 , 包 括 内 部 网 、 外 部 网 及 远 端 用 户 的 访问 得 以 实现 。 

IPSec 是 通过 使 用 各 种 加 密 算法 .验证 算法 .封装 协议 和 一 些 特 殊 的 安全 保护 机 制 来 实 
现 这 些 目的 ,而 这 些 算法 及 其 参数 保存 在 进行 IPSec 通信 两 端的 SA(CSecurity Association ， 
安全 关联 ) 中 , 当 两 端的 SA 中 的 设置 匹配 时 ,两 端 就 可 以 进行 IPSec 通信 了 。IPSec 使 用 的 
加 密 算法 包括 DES-56 位 、3DES 168 位 和 RSA 等 国际 较为 通用 的 算法 。 验 证 算法 采用 的 
也 是 流行 的 HMAC-MD5 和 HMAC-SHA 算法 。 

IPSec 安全 体系 如 图 11. 8 所 示 ,包括 3 个 基本 协议 : AH 协议 为 IP 包 提 供 信息 源 验 证 
和 完整 性 保证 ,ESP 协议 提供 加 密 机 制 , 密 钥 管理 协议 (ISAKMP) 提 供 双 方 交 流 时 的 共享 
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安全 信息 。ESP 和 AH 协议 都 有 相关 的 一 系列 支持 文件 ,规定 了 加 密 和 认证 的 算法 。 最 
后 ,解释 域 (DOD 通 过 一 系列 命令 、 算 法、 属性 和 参数 连接 所 有 的 IPSec 组 件 。 而 策略 决定 
两 个 实体 之 间 能 否 进行 通信 及 如 何 通信 。 策 略 的 核心 部 分 由 安全 关联 (SA) .安全 关联 数据 
库 (SAD) ,安全 策略 (SP) ,安全 策略 数据 库 (SPD) 组 成 。 


IPSec 安 全 体系 
全 一 


ESP 协 议 


i 


加 密 算法 


| 解释 域 DOI | 
| 


密 钥 管理 

























































































-十 条 | 


图 11.8 IPSec 安全 体系 结构 














安全 关联 是 发 送 者 和 接收 者 两 个 IPSec 应 用 实体 之 间 经 协商 建立 起 来 的 一 种 共同 协 
定 , 它 规定 了 通信 双方 使 用 哪 种 IPSec 协议 保护 数据 安全 应 用 的 算法 标识 .加密 和 验证 的 
密 钥 取 值 及 密 钥 的 生存 周期 等 安全 属性 值 。 

安全 关联 数据 库 用 于 存放 SA ,为 接收 /发 送 包 处 理 维持 一 个 活动 的 SA 列表 。 

安全 策略 是 一 个 描述 规则 ,定义 了 对 什么 样 的 数据 流 实 施 什 么 样 的 安全 处 理 , 至 于 安全 
处 理 需 要 的 参数 在 SP 指向 的 一 个 结构 SA 中 存储 。 

安全 策略 数据 库 中 每 个 记录 就 是 一 条 SP, 定 义 类 似 上 例 中 的 描述 规则 ,一 般 分 为 应 用 
IPSec 处 理 、 绕 过 、 丢 弃 。 

1) AH 协议 

AH(Authentication Header) 定 义 于 RFC2402 中 。 该 协议 用 于 保证 IP 数据 包 的 完整 
性 和 真实 性 ,防止 黑客 截获 数据 包 或 向 网 络 中 插入 伪造 的 数据 包 。 考 虑 到 计算 效率 ,AH 没 
有 采用 数字 签名 ,而 是 采用 了 安全 散 列 算法 来 对 数据 包 进 行 保护 。AH 没有 对 用 户 数 据 进 
行 加 密 , 当 需要 身份 验证 而 不 需要 机 密 性 的 时 候 , 使 用 AH 协议 是 最 好 的 选择 。 

AH 有 以 下 两 种 工作 模式 。 

(1) 传输 模式 。 传 输 模式 不 改变 数据 包 IP 地 址 ,在 IP 头 和 IP 数据 负载 间 插 入 一 个 
AH 头 , 如 图 11.9 所 示 。 


原始 IP 报 广 IP 头 | 负载 | 
1 本 
， 1 < 
加 入 AH 头 后 
的 ip 报 文 IP 头 | AH 头 负载 
bs 认证 范围 


























图 11.9 AH 协议 的 传输 模式 
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(2) 隧道 模式 。 隧 道 模式 生成 一 个 新 的 IP 头 ,把 AH 和 原来 的 整个 IP 包 放 到 新 IP 包 
的 负载 数据 中 ,如 图 11. 10 所 示 。 























原始 IP 报 文 IP 头 负载 
加 入 新 IP 头 和 Es 二 
AH 头 后 的 巴 新 IP 头 an | IP 头 负载 加 
报 文 二 验证 范围 一 
1 


图 11.10 AH 协议 的 隧道 模式 


2) ESP 协议 

ESP(Encapsulating Security Payload) 定 义 于 RFC2406 协议 中 。 它 用 于 确保 IP 数据 
包 的 机 密 性 (对 第 三 方 不 可 见 ) 数据 的 完整 性 及 对 数据 源 地 址 的 验证 ,同时 还 具有 抗 重播 的 
特性 。 

ESP 主要 用 于 提供 加 密 和 认证 功能 。 它 通过 在 IP 分 组 层次 进行 加 密 从 而 提供 保密 性 ， 
并 为 IP 分 组 载荷 和 ESP 报头 提供 认证 。ESP 是 与 具体 的 加 密 算法 相 独 立 的 ,几乎 支持 各 
种 对 称 密 钥 加 密 算法 ,默认 为 3DES 和 DES。 

ESP 也 有 两 种 工作 模式 , 即 ESP 传输 模式 和 ESP 隧道 模式 。ESP 传输 模式 与 AH 传 
输 模式 作用 相同 ,并且 ESP 头 也 位 于 IP 头 部 之 后 和 需要 保护 的 上 层 协 议 之 间 。 图 11. 11 
所 示 为 ESP 的 传输 模式 ,从 图 中 可 以 看 出 ,与 AH 传输 模式 相 比 较 ,ESP 的 传输 模式 还 多 了 
ESP 尾 和 ESP 验证 数据 。 





原始 IP 报 广 IP 关 | 负载 | 





一 -一 一 





受 ESP 保 护 的 
py IP 头 | ESP 头 负载 ESP 尾 [ES 网 
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11.11 ESP 协议 的 传输 模式 


ESP 隧道 模式 与 AH 隧道 模式 功能 相同 。 它 在 隧道 模式 中 ,IP 报头 是 认证 的 一 部 分 。 
图 11. 12 所 示 为 ESP 隧道 模式 ,可 以 对 整个 原始 数据 分 组 进行 加 密 和 认证 。 而 在 数据 传输 
时 , 仅 对 IP 包 有 效 载荷 加 密 ,不 对 IP 头 加 密 。 

3) 密 钥 管理 一 一 IKE 

IKE(Internet Key Exchange,Internet 密 钥 交换 协议 ) 主 要 是 用 来 协商 和 建立 IPSec 通 
信 双 方 的 SA, 实际 上 就 是 对 双方 所 采用 的 加 密 算法 、 验 证 算法 .封装 协议 和 有 效 期 进行 协 
商 , 同 时 安全 地 生成 以 上 算法 所 需 的 密 钥 。 

IKE 是 在 ISAKMP (Internet Security Association and Key Management Protocol, 
Internet 安全 关联 及 密 钥 管理 协议 ) 基 础 上 实现 的 ,ISAKMP 定义 了 双方 如 何 沟 通 , 如 何 构 
建 彼此 间 用 以 沟通 的 消息 ,还 定义 了 保障 通信 安全 所 需 的 状态 变换 。ISAKMP 提供 了 对 对 
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方 的 身份 进行 验证 的 方法 , 密 钥 交换 时 交换 信息 的 方法 ,以 及 对 安全 服务 进行 协商 的 方法 。 
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图 11.12 ESP 协议 的 隧道 模式 


IKE 使 用 了 两 个 阶段 的 ISAKMP ,第 一 阶段 建立 ISAKMP-SA ,或 称 为 IKE-SA; 第 二 
阶段 利用 这 个 既定 的 安全 联盟 为 IPSec 协商 具体 的 安全 联盟 ,可 称 为 IPSec-SA。 在 第 一 阶 
段 中 ,IKE 定义 了 两 种 交换 模式 :“ 主 模式 ”和 “野蛮 模式 ”, 相 比 之 下 ,“ 主 模式 ”的 安全 性 和 
可 靠 性 要 比 “ 野 查 模 式 " 高 。 在 第 二 阶段 中 ,IKE 定义 了 “快速 模式 ”。 

在 这 两 个 阶段 中 都 会 用 到 DH (Diffie-Hellman) 算 法 ,IKE 协商 生成 的 安全 密 钥 是 通过 
这 种 算法 实现 的 。 这 种 算法 是 基于 公 钥 体系 的 ,在 整个 通信 过 程 中 ,通信 的 双方 都 只 向 对 方 
传输 属于 公 钥 的 那 一 部 分 。 这 种 算法 的 另外 一 个 优点 就 是 如 果 有 第 三 方 窃听 了 整个 协议 的 
交互 通信 过 程 ,仍然 很 难 破解 通信 内 容 。 

在 第 一 阶段 中 ,提供 了 对 对 方 的 身份 验证 机 制 ,有 Pre-shared Key( 预 共享 密 钥 )、RSA 
加 密 验 证 和 RSA 签名 验证 ,RSA 签名 验证 则 需要 CA(Certificate Authoriry) 的 支持 。 对 于 
CA 支持 的 引入 ,可 以 扩大 VPN 的 应 用 环境 ,同时 也 提高 了 VPN 的 安全 性 。 


11.2.3 多 协议 标签 交换 


MPLS(Multi-Protocol Label Switching, 多 协议 标签 交换 ) 属 于 第 三 代 网 络 架构 ,是 新 
一 代 的 IP 高 速 骨干 网 络 交换 标准 , 巾 IETF 所 提出 。 它 是 结合 了 IP 和 ATM 的 特点 , 即 在 
Frame Relay 及 ATM Switch 上 结合 路 由 功能 ,使 数据 包 通过 虚拟 电路 来 传送 ,并 在 OSI 第 
二 层 (数据 链 路 层 ) 执 行 硬 件 式 交 换 , 这 样 取代 了 第 三 层 ( 即 网 络 层 ) 软 件 式 路 由 的 交换 方式 。 

MPLS 介 于 第 二 层 和 第 三 层 之 间 ,把 第 二 层 的 链 路 状态 信息 集成 到 第 三 层 的 协议 数据 
单元 中 ,将 第 二 层 的 高 速 交换 能 力 和 第 三 层 的 灵活 特性 结合 起 来 ,并 且 引入 了 基于 标记 的 
机 制 。 

在 MPLS 中 ,数据 传输 发 生 在 标签 交换 路 径 (Label Switching Path,LSP) 上 。LSP 是 
每 一 个 沿 着 从 源 端 到 终端 的 路 径 上 的 节点 的 标签 序列 。 现 今 使 用 着 一 些 标签 分 发 协议 有 标 
签 分 发 协议 (Label Distribution Protocol, LDP) 和 资源 预 留 协 议 (Resource Reservation 
Protocol, RSVP) , 建 于 路 由 协议 之 上 的 一 些 协 议 有 边界 网 关 协 议 (Border Gateway Protocol， 
BGP) 和 开放 式 最 短路 径 优 先 协 议 (Open Shortest Path First,OSPF)。 因 为 固定 长 度 标签 
被 插入 每 一 个 包 或 信 元 的 开始 处 ,并 且 可 被 硬件 用 来 在 两 个 链接 间 快 速 交 换 包 ,所 以 使 数据 
的 快速 交换 成 为 可 能 。 

传统 的 VPN 一 般 是 通过 GRE、L2TP、PPTP 和 IPSec 协议 等 隧道 协议 来 实现 私有 网 
络 间 数据 流 在 公 网 上 的 传送 。 而 LSP 本 身 就 是 公 网 上 的 隧道 ,所 以 用 MPLS 来 实现 VPN 
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有 天 然 的 优势 。 
11.2.4 第 四 层 隧道 协议 


SSL VPN 是 解决 远程 用 户 访问 敏感 公司 数据 最 简单 最 安全 的 解决 技术 。 与 复杂 的 
IPSec VPN 相 比 ,SSL 通过 简单 易 用 的 方法 实现 信息 远程 连通 。 任 何 安 装 浏览 器 的 机 器 都 
可 以 使 用 SSL VPN, 这 是 因为 SSL 内 散在 浏览 器 中 , 它 不 需要 像 传统 IPSec VPN 一 样 必须 
为 每 一 台 客 户 机 安装 客户 机 软件 。 

SSL 是 由 Netscape 公司 开发 的 一 套 Internet 数据 安全 协议 ,当前 版 本 为 3.0。 它 已 被 
广泛 地 用 于 Web 浏览 器 与 服务 器 之 间 的 身份 认证 和 加 密 数 据 传输 。SSL 协议 位 于 TCP/ 
IP 协议 与 各 种 应 用 层 协 议 之 间 ,为 数据 通信 提供 安全 支持 。SSL 协议 可 分 为 两 层 : SSL 记 
录 协 议 (SSL Record Protocol) 建 立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ,为 高 层 协议 提供 数据 
封装 .压缩 .加 密 等 基本 功能 的 支持 。SSL 握手 协议 (SSL Handshake Protocol) 建 立 在 SSL 
记录 协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 ,协商 加 密 算 法 、. 交 换 
加 密 密 钥 等 。 

SSL VPN 的 工作 原理 : 首先 ,由 SSL VPN 生成 自己 的 根 证 书 和 服务 器 证 书 。 接 着 , 客 
户 机 浏览 器 下 载 并 导入 SSL VPN 的 证 书 。 并 通过 HTTPS 协议 向 SSL VPN 发 送 认证 请 
求 ,SSL VPN 接受 请 求 , 客 户 机 实现 对 SSL VPN 服务 器 的 认证 。 然 后 ,服务 器 通过 口令 方 
式 ( 或 数字 证 书 等 多 重 认证 方式 ) 认 证 客户 机 。 这 样 就 在 浏览 器 和 SSL VPN 服务 器 之 间 建 
立 了 一 条 SSL 安全 通道 。 

SSL VPN 工作 在 传输 层 之 上 ,使 用 标准 的 HTTPS 协议 传输 数据 ,可 以 穿越 防火 墙 , 避 
免 了 地 址 转换 NAT 的 问题 。 而 在 IPSec VPN 中 ,由 于 工作 在 网 络 层 之 上 ,并 不 能 很 好 地 解 
决 包 括 NAT 转换 防火墙 穿越 的 问题 。 但 是 当 使 用 基于 SSL 协议 通过 Web 浏览 器 进行 
VPN 通信 时 ,对 用 户 来 说 外 部 环境 并 不 是 完全 安全 的 ,因为 SSL VPN 只 对 通信 双方 的 某 
个 应 用 通道 进行 加 密 , 而 不 是 对 在 通信 双方 的 主机 之 间 的 整个 通道 进行 加 密 。 

不 管 怎样 ,SSL VPN 是 一 种 低 成 本 、 高 安全 性 、 简 便 易 用 的 远程 访问 VPN 解决 方案 ， 
具有 相当 大 的 发 展 潜力 。 随 着 越 来 越 多 的 公司 将 自己 的 应 用 转向 Web 平 台 ,SSL VPN 会 
得 到 更 为 广泛 的 应 用 。 


11.3 ”VPN 的 应 用 方案 


11.3.1 L2TP 应 用 方案 


在 链 路 层 中 , VPN 提供 了 PPTP、L2F 和 L2TP 3 种 实现 方案 。 由 于 L2TP 集合 了 
PPTP 、L2F 的 优点 ,下 面 只 介绍 关于 L2TP 的 应 用 方案 。 

L2TP 主要 用 于 通过 拨号 连接 企业 内 部 网 络 的 情况 。 如 图 11. 13 所 示 , 外 出 人 员 1 可 
以 先 拨 入 提供 VPN 服务 的 PSTN1 ,由 该 PSTN 提供 的 VPN 网 关 通 过 公用 网 络 和 企业 本 
部 的 VPN 网 关 建 立 安全 通道 ,随后 外 出 人 员 1 便 可 以 利用 这 条 通道 访问 企业 的 内 部 网 
络 了 。 
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图 11.13 L2TP 构建 的 VPN 


而 外 出 人 员 2 无 法 接 入 提供 VPN 服务 的 PSTN1 ,或 者 本 身 主 机 已 带 有 L2TP 功能 的 
软件 ,那么 可 以 通过 普通 的 PSTN2 及 公用 网 络 直接 和 企业 本 部 的 VPN 网 关 建 立 安 全 通 
道 , 获 得 访问 企业 内 部 网 络 的 权利 。 


11.3.2 IPSec 应 用 方案 


IPSec 是 VPN 在 网 络 层 的 实现 ,IPSec 的 灵活 性 可 以 给 VPN 的 实现 带 来 极 大 的 便利 。 
如 图 11. 14 所 示 ,用户 可 以 定义 3 个 保护 级 别 ,用 来 确保 Telnet\SMTP 及 其 他 所 有 通信 的 
安全 。 为 了 确保 Telnet 连接 时 不 被 第 三 方 自 改 , 可 以 对 网 关 A 到 网 关 B 之 间 的 Telnet 数 
据 流 进行 验证 ; 为 了 确保 发 送 的 信件 不 被 别人 偷 帘 和 自 改 ,可 以 对 网 关 A 到 网 关 B 的 
SMTP 数据 采用 加 密 和 验证 ; 而 对 网 关 A 到 网 关 B 的 其 他 通信 数据 , 则 可 以 不 采用 IPSec 
保护 或 仅 采用 NULL 加 密 (IPSec 中 ESP 封装 类 型 的 一 种 )。 这 样 就 形成 了 3 个 保护 强度 
的 IPSec 通信 通道 ,其 中 以 保护 SMTP 的 强度 最 高 ,保护 Telnet 的 强度 次 之 ,而 对 于 其 他 通 
信和 数据 的 保护 强度 最 弱 。 


SMTP 






Telnet 


图 11.14 不 同 强度 级 别 IPSec 保护 的 数据 流 


下 面 介绍 几 种 常见 的 VPN 在 网 络 层 的 应 用 方案 。 

1. 针对 VPN 网 关 类 型 为 “路 由 器 -路 由 器 ”的 解决 方案 

当 远 地 办 事 机 构 或 合作 企业 需要 访问 企业 本 部 时 ,可 以 通过 本 地 的 VPN 路 由 器 连接 
公用 网 络 ,由 VPN 路 由 器 和 企业 本 部 的 VPN 网 关 路 由 器 建立 IPSec 通道 。 在 这 条 安全 通 
道 的 保护 下 ,双方 可 以 访问 对 方 ,如 果 再 配置 NAT, 便 可 以 完全 屏蔽 公用 网 络 对 地 址 的 影 
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响 ,访问 对 方 就 好 像 是 访问 局 域 网 中 的 另外 一 台 主 机 一 样 ,如 图 11. 15 所 示 。 


远程 办 事 机构 VPN 路 由 器 









(A) | 

1 

5 
VPN 路 由 如 ”PSE 通道 | 。。。 数据 服务 由 


图 11.15 VPN 网 关 类 型 为 “路 由 器 -路 由 器 ” 


2. 针对 VPN 网 关 类 型 为 “路 由 器 -防火 墙 ?的 解决 方案 

由 于 实现 VPN 网 关 功 能 的 设备 或 软件 很 多 ,在 许多 企业 的 内 部 网 络 和 公用 网 络 的 连 
接 处 也 许 会 设置 具有 VPN 功能 的 防火 墙 。 这 时 通信 的 另外 一 方 可 以 通过 VPN 路 由 器 和 
防火 墙 建立 安全 通道 ,以 此 来 确保 通信 的 安全 。 

如 图 11. 16 所 示 , 当 远 地 办 事 机 构 最 外 端的 VPN 路 由 器 1 和 企业 本 部 的 防火 墙 (如 著 
名 的 Check-Point 的 Firewall-1) 建 立 了 安全 通道 之 后 , 远 地 办 事 机 构 的 主机 A 和 B 都 可 以 
访问 企业 的 数据 服务 器 。 而 当 企业 内 部 的 VPN 路 由 器 设置 了 保护 Server 后 ,A 就 无 法 访 
问 Server, 而 在 远 地 办 事 机 构 内 部 VPN 路 由 器 2 可 以 和 企业 内 部 的 VPN 路 由 器 建立 另外 
一 条 安全 通道 ,并 且 这 条 安全 通道 凌驾 在 第 一 条 安全 通道 之 上 ,这 样 主机 B 就 可 以 访问 到 
Server 了 。 
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图 11.16 VPN 网 关 类 型 为 “路 由 器 -防火 墙 ” 


这 种 情况 称 为 IPSec 的 嵌 套 , 它 可 以 提供 更 加 灵活 的 组 网 方案 ,并 且 提 供 更 加 安全 的 通 
信 通 道 。 

3. 针对 VPN 网 关 类 型 为 “路 由 器 -移动 用 户 ” 的 解决 方案 

当 外 出 人 员 需 要 和 企业 本 部 进行 网 络 安全 的 连接 时 ,需要 进行 图 11. 17 所 示 的 连接 。 

外 出 人 员 1 可 以 通过 带 IPSec 功能 的 软件 (如 Windows 系列 ) 直 接 和 企业 本 部 的 VPN 
网 关 路 由 器 建立 安全 连接 ; 而 外 出 人 员 2 可 以 通过 拨号 方式 拨 入 提供 VPN 服务 的 ISP 服 
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务 商 , 巾 它 提 供 的 VPN 路 由 器 和 企业 的 VPN 网 关 路 由 器 建立 安全 连接 ,两 种 方式 都 可 以 
有 效 地 保护 数据 的 传输 。 

路 由 器 具有 比较 完善 的 VPN 网 关 功 能 ,可 以 为 VPN 组 网 提供 许多 高 效 、 安 全 .可 靠 和 
灵活 的 方案 。 路 由 器 支持 各 种 VPN 技术 ,包括 隧道 技术 IPSec、 密 钥 交换 技术 ,协议 封装 技 
术 (GRE) 等 ,在 今后 的 发 展 中 ,还 将 提供 更 加 先进 、 完 善 的 VPN 技术 来 发 挥 VPN 技术 在 网 
络 建设 中 灵活 安全 .可靠 的 优点 ,同时 提高 VPN 网 络 的 可 管理 性 。 
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忆 IPSec 通 道 
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是 
> 
外 出 人 员 2 ISP 提 供 的 VPN 路 由 器 

IPSec 通 道 


11.17 VPN 网 关 类 型 为 “路 由 器 -移动 用 户 ” 


11.3.3 SSL VPN 应 用 方案 


1，Web 浏览 器 模式 的 解决 方案 

由 于 Web 浏览 器 的 广泛 部 署 ,而 且 Web 浏览 器 内 置 了 SSL 协议 ,使 得 SSL VPN 在 这 
种 模式 下 只 要 在 SSL VPN 服务 器 上 集中 配置 安全 策略 ,几乎 不 用 为 客户 机 做 什么 配置 就 
可 使 用 ,大 大 减少 了 管理 的 工作 量 ,方便 用 户 的 使 用 。 缺 点 是 仅 能 保护 Web 通信 传输 安全 。 
远程 计算 机 使 用 Web 浏览 器 通过 SSL VPN 服务 器 来 访问 企业 内 部 网 中 的 资源 ,如 图 11. 18 
所 示 。 
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图 11.18 Web 浏 览 器 模式 的 解决 方案 


2. 客户 机 模式 的 解决 方案 


SSL VPN 客户 机 模式 为 远程 访问 提供 安全 保护 ,用 户 需要 在 客户 机 安装 一 个 客户 机 软 
件 ,并 做 一 些 简单 的 配置 即 可 使 用 ,无 须 对 系统 做 改动 ,如 图 11. 19 所 示 。 这 种 模式 的 优点 
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是 支持 所 有 建立 在 TCP/IP 和 UDP/IP 上 的 应 用 通信 传输 的 安全 , Web 浏览 器 也 可 以 在 这 
种 模式 下 正常 工作 。 这 种 模式 的 缺点 是 客户 机 需要 额外 的 开销 。 
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2 | 本 机 通道 内 ”| 0 SSL 安 全 通道 i 
的 数据 传输 内 的 数据 传输 














图 11.19 客户 机 模式 的 解决 方案 


3. LAN 到 LAN 模式 的 解决 方案 

LAN 到 LAN 模式 对 LAN( 局 域 网 ) 与 LAN 之 间 的 通信 传输 进行 安全 保护 。 与 基于 
IPSec 协议 的 LAN 到 LAN 的 VPN 相 比 , 它 的 优点 就 是 拥有 更 多 访问 控制 的 方式 ,缺点 是 
仅 能 保护 应 用 数据 的 安全 ,并 且 性 能 较 低 , 如 图 11. 20 所 示 。 
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11.20 LAN 到 LAN 模式 的 解决 方案 


习 题 11 
一 、 选 择 题 
1. IPSec 是 ( ) VPN 协议 标准 。 
A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
多 ) 是 IPSec 规定 的 一 种 用 来 自动 管理 SA 的 协议 ,包括 建立 ,协商 ,修改 和 删除 
SA 等 。 
A. IKE B. AH C. ESP D. SSL 


3. 以 下 关于 VPN 的 论述 中 错误 的 一 项 是 ( Wh 


品 喇 


. VPN 的 实现 需要 借助 SSL 

.VPN 可 以 实现 远程 站 点 身份 认证 

.VPN 只 支持 TCP/IP 

.VPN 是 指 用 户 自 己 租用 线路 和 公共 网 络 物理 上 完全 隔离 的 、 安 全 的 线路 
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4. VPN 不 能 提供 以 下 ( ) 功 能 。 
A. 数据 有 序 到 达 目 的 主机 B. 数据 加 密 
C. 信息 认证 和 身份 认证 D. 访问 权限 控制 
5. 以 下 关于 虚拟 专用 网 的 叙述 中 ,不 正确 的 是 ( ys 
A. VPN 是 指 建立 在 私有 网 络 上 的 、 由 某 一 组 织 或 某 一 群 用 户 专用 的 通信 网 络 
B. VPN 的 虚拟 性 表现 在 任意 一 对 VPN 用 户 之 间 没 有 专用 的 物理 连接 ,而 是 通过 
ISP 提供 的 公用 网 络 来 实现 通信 
C. VPN 的 专用 型 表现 在 VPN 之 外 的 用 户 无 法 访问 VPN 内 部 资源 
D. 隧道 技术 是 实现 VPN 的 关键 技术 之 一 
二 , 填空 题 
1. IETF 对 基于 IP 的 VPN 定义 : 使 用 仿真 出 一 个 私有 的 广域网 。 
2. VPN 系统 中 的 认证 技术 包括 和 两 种 类 型 。 
3. IPSec 在 模式 下 把 数据 封装 在 一 个 IP 包 传 输 以 隐藏 路 由 信息 。 
4. 在 第 三 层 隧 道 协议 中 ,有 两 种 常用 的 实现 方式 , 即 GRE 和 _ 。 
5. VPN 业务 按 用 户 需 求 定 义 ,根据 VPN 服务 类 型 进行 分 类 ,可 以 分 为 Intranet VPN、 
和 三 种 。 
、 简 答题 
. 什么 是 VPN? VPN 的 系统 特性 有 哪些 ? 
. IPSec 包括 哪 几 种 基本 协议 ? 它们 之 间 有 什么 关系 ? 
. AH 包括 哪 几 种 工作 模式 ? 它们 的 数据 包 格 式 分 别 是 什么 样 的 ? 
. ESP 包括 哪 几 种 工作 模式 ? 它们 的 数据 包 格 式 分 别 是 什么 样 的 ? 
. IKE 的 作用 是 什么 ? 
.SA 的 作用 是 什么 ? 
. L2TP 协议 的 优点 是 什么 ? 
. SSL 工作 在 哪 一 层 ? 简单 比较 SSL VPN 和 IPSec VPN。 





站 


第 12 全 电子 商务 安全 


12.1 电子 商务 安全 概述 


电子 商务 (E-Commerce) 是 指 买 卖 双 方 通过 通信 网 络 ,在 双方 没有 见面 的 情况 下 进行 的 
各 种 商务 活动 的 总 称 。 随 着 Internet 技术 的 成 熟 和 广泛 应 用 ,电子 商务 真正 的 发 展 将 是 建 
立 在 Internet 技术 上 的 ,因此 也 有 人 把 电子 商务 简称 为 IC(Internet Commerce) 。 

电子 商务 依托 于 信息 技术 和 计算 机 网 络 ,作为 一 种 商务 活动 ,必然 不 同 于 传统 的 商务 活 
动 。 传 统 的 商务 活动 是 在 实体 市 场 中 进行 ,而 电子 商务 是 在 网 络 环境 中 的 虚拟 市 场 中 进行 
的 。 因 此 与 传统 商务 对 比 ,电子 商务 有 着 无 可 比拟 的 优势 。 

(1) 全 球 化 的 市 场 。 凡 是 能 够 上 网 的 用 户 都 将 包含 在 一 个 市 场 中 ,成 为 网 上 企业 的 
客户 。 

(2) 快捷 的 交易 。 电 子 商 务 中 的 交易 过 程 都 能 通过 网 络 快 速 传递 ,并 由 计算 机 自动 处 
理 , 不 需要 人 员 的 干预 ,加 快 了 交易 的 速度 。 

(3) 低廉 的 成 本 。 由 于 电子 商务 的 所 有 活动 都 可 以 在 网 络 上 完成 ,可 以 实现 足 不 出 户 ， 
不 需要 中 介 代 理 的 参与 ,不 需要 专门 的 店面 ,商务 成 本 大 大 地 降低 了 。 

(4) 透明 ,标准 的 交易 。 电 子 商务 的 所 有 交易 都 要 求 按照 统一 的 标准 来 进行 ,整个 交易 
的 详细 过 程 都 是 透明 公开 的 。 

(5) 交易 的 连续 化 。 通 过 网 页 的 形式 ,电子 商务 可 以 实现 24 小 时 的 咨询 服务 ,企业 的 
网 址 成 为 永 不 打 料 的 门店 ,让 全 球 的 用 户 在 任何 时 候 都 能 进行 访问 。 

但 与 此 同时 ,电子 商务 也 存在 着 一 定 的 安全 问题 。 电 子 商务 的 主要 安全 威胁 有 : 计算 
机 系统 的 破坏 ,信息 的 截获 、 窃 取 、 算 改 和 伪造 ,黑客 的 人 侵 , 软 件 和 协议 的 漏洞 ,计算 机 病毒 
的 攻击 ,用 户 身份 的 假冒 及 交易 的 抵赖 等 。 

因此 ,要 保证 电子 商务 的 安全 ,就 应 该 考虑 上 述 安全 威胁 ,为 电子 商务 提供 可 靠 的 安全 
保障 。 具 体 来 说 ,电子 商务 的 安全 需求 如 下 。 

(1) 可 靠 性 。 电 子 商务 以 电子 形式 取代 书面 形式 ,应 采取 一 定 的 措施 来 保证 电子 贸易 
信息 的 有 效 性 。 需 要 对 网 络 故障 、 操 作 错 误 .应 用 程序 错误 .硬件 故障 .系统 软件 错误 及 计算 
机 病毒 所 产生 的 潜在 威胁 加 以 控制 和 预防 ,以 保证 贸易 数据 在 确定 的 时 刻 、 确 定 的 地 点 是 有 
效 的 。 要 制定 较 好 的 安全 策略 ,在 系统 遭受 破坏 时 具有 快速 反应 的 能 力 。 在 系统 已 经 受到 
破坏 时 ,如 何在 灾难 中 恢复 系统 和 数据 ,如 何 尽 量 减少 损失 ,避免 引发 连带 灾害 的 发 生 , 如 何 
对 外 公布 消息 以 减少 负面 影响 等 都 是 应 当 考 虑 的 事情 。 

(2) 机 密 性 。 信 息 的 机 密 性 是 电子 商务 对 网 络 安 全 的 核心 需求 ,其 目的 就 是 要 求 信息 
不 被 泄露 给 非 授 权 的 人 或 实体 。 电 子 商务 作为 贸易 的 一 种 手段 ,其 信息 直接 代表 着 个 人 、 企 
业 或 国家 的 商业 机 密 。 传 统 的 纸 面 贸 易 都 是 通过 邮寄 封装 的 信件 或 通过 可 靠 的 通信 渠道 发 
送 商 业 报 文 来 达到 保守 机 密 的 目的 。 电 子 商务 是 建立 在 一 个 较为 开放 的 网 络 环境 上 的 , 维 
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护 商 业 机 密 是 电子 商务 全 面 推广 应 用 的 重要 保障 。 因 此 ,要 预防 非法 的 信息 存 取 和 非法 的 
信息 窃取 。 机 密 性 一 般 通 过 密码 技术 对 信息 进行 加 密 来 实现 。 

(3) 完整 性 。 信 息 的 完整 性 就 是 要 保证 数据 的 一 致 性 ,防止 数据 被 伪造 、 算 改 和 破坏 。 
由 于 数据 输入 时 的 意外 差错 或 欺诈 行为 ,可 能 导致 贸易 各 方 信息 的 差异 。 此 外 ,数据 传输 过 
程 中 信息 的 丢失 、 信 息 重 复 或 信息 传送 的 次 序 差异 也 会 导致 贸易 各 方 信息 的 不 同 。 贸 易 各 
方 信息 的 完整 性 将 影响 到 贸易 各 方 的 交易 和 经 营 策略 ,保持 贸易 各 方 信 息 的 完整 性 是 电子 
商务 应 用 的 基础 。 因 此 ,要 预防 对 信息 的 随意 生成 .修改 和 删除 ,同时 要 防止 数据 传送 过 程 
中 信息 的 丢失 和 重复 ,并 保证 信息 传送 次 序 的 统一 。 完 整 性 一 般 可 通过 提取 消息 摘要 的 方 
式 来 实现 。 

(4) 不 可 抵赖 性 。 不 可 抵赖 性 的 目的 就 是 防止 交易 双方 中 的 一 方 对 自己 之 前 的 交易 
活动 进行 否认 。 电 子 商 务 直 接 关 系 到 交易 双方 的 商业 交易 ,如何 确 定 进行 交易 的 对 方正 
是 所 期 望 的 交易 对 象 是 保证 电子 商务 顺利 进行 的 关键 。 在 传统 的 纸 面 贸易 中 ,交易 双方 
通过 在 合同 、 契 约 或 贸易 单据 等 书面 文件 上 手写 签名 或 印章 来 鉴别 贸易 伙伴 ,确保 合同 、 
契约 .单据 的 可 靠 性 并 预防 抵赖 行为 的 发 生 。 这 就 是 人 们 常 说 的 “ 白 纸 黑 字 ”。 在 无 纸 化 
的 电子 商务 方式 下 ,不 可 能 通过 手写 签名 和 印章 进行 交易 双方 的 鉴别 。 因 此 ,要 在 交易 
信息 的 传输 过 程 中 为 参与 交易 双方 提供 可 靠 的 标识 。 不 可 抵赖 性 可 通过 数字 签名 来 
保证 。 

(5) 身份 认证 能 力 。 电 子 商务 系统 应 该 提供 通信 双方 进行 身份 认证 的 机 制 。 一 般 可 以 
通过 数字 签名 .数字 证 书 和 身份 认证 协议 相 结合 的 方式 来 实现 对 用 户 身 份 的 认证 。 数 字 证 
书 应 该 由 可 靠 的 证 书 权威 机 构 颁 发 ,颁发 证 书 时 应 对 申请 用 户 提供 的 身份 信息 的 真实 性 进 
行 验证 。 


12.2 SSL 协 议 


随 着 计算 机 网 络 技 术 向 经 济 社会 的 各 层次 延伸 ,整个 社会 对 Internet、 Intranet、 
Extranet 的 使 用 产生 了 更 大 的 依赖 性 。 随 着 企业 间 信 息 交 互 的 不 断 增加 ,任何 一 种 网 络 应 
用 和 增值 服务 的 使 用 程度 将 取决 于 所 使 用 网 络 的 信息 安全 有 无 保障 ,网 络 安全 已 成 为 现代 
计算 机 网 络 应 用 的 最 大 障碍 ,也 是 急需 解决 的 难题 之 一 。 


12.2.1 SSL 概述 


SSL 是 Netscape 公司 在 推出 Web 浏览 器 的 同时 提出 的 一 种 安全 通信 协议 ,其 目的 是 
保护 在 Web 上 传输 重要 或 敏感 的 数据 信息 ,目前 已 推出 了 2.0 和 3.0 版 本 。SSL 采用 对 称 
密 钥 算法 (主要 是 DES) 和 公开 密 钥 算法 (主要 是 RSA) 两 种 加 密 方式 ,并 使 用 了 X. 509 数字 
证 书 技术 ,其 目标 是 保证 两 个 应 用 间 通 信 的 保密 性 和 可 靠 性 ,可 在 服务 器 和 客户 机 两 端 同 时 
实现 支持 。 目 前 ,利用 公开 密 钥 技术 的 SSL 协议 已 成 为 Internet 上 保密 通信 的 工业 标准 。 
现行 Web 浏览 器 普遍 将 HTTP 和 SSL 相 结合 ,从 而 实现 安全 通信 。 

SSL 协议 的 设计 目标 是 在 TCP 基础 上 提供 一 种 可 靠 的 端 到 端的 安全 服务 ,其 服务 对 象 
一 般 是 Web 应 用 。SSL 是 在 Internet 基础 上 提供 的 一 种 保证 私密 性 的 安全 协议 。 它 能 使 
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客户 机 /服务 器 应 用 之 间 的 通信 不 被 攻击 者 窃听 ,并 且 始 终 对 服务 器 进行 认证 ,还 可 选择 对 
客户 进行 认证 。SSL 协议 要 求 建立 在 可 靠 的 传输 层 协议 (如 TCP) 之 上 。SSL 协议 的 优势 
在 于 它 是 与 应 用 层 协议 独立 无 关 的 。 高 层 的 应 用 层 协议 (如 HTTP、FTP 和 Telnet 等 ) 能 
透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协议 通信 之 前 就 已 经 完成 加 密 算法 .通信 
密 钥 的 协商 及 服务 器 认证 工作 。 在 此 之 后 ,应 用 层 协议 所 传送 的 数据 都 会 被 加 密 , 从 而 保证 
通信 的 私密 性 。 

SSL 协议 分 为 两 层 , 其 中 底层 是 SSL 记录 协议 , 它 为 高 层 协议 提供 基本 的 安全 服务 ， 
对 HTTP 协议 进行 了 特别 的 设计 ,使 得 超 文 本 传输 能 在 SSL 上 和 运行。 记录 协 议 还 封装 了 
压缩 解压 缩 、 加 密 解 密 、 计 算 和 校 验 MAC 等 与 安全 相关 的 操作 。 高 层 协议 由 三 部 分 组 
成 : 握手 协议 、 加 密 规 范 修改 协议 和 报警 协议 ,这 些 上 层 协 议 用 于 管理 SSL 信息 交换 ,多 
许 应 用 协议 传送 数据 之 前 相互 验证 ,协商 加 密 算法 和 生成 密 钥 等 。SSL 协议 栈 如 图 12. 1 
所 示 。 





握手 协议 | 加 密 规范 修改 协议 | 报警 协议 HTTP 
SSL 记录 协议 
TCP 


























IP 





图 12.1 SSL 协议 栈 


SSL 安全 协议 主要 提供 的 安全 服务 如 下 。 

(1) 认证 用 户 和 服务 器 ,使 得 它们 能 够 确保 信息 能 被 安全 地 发 送 到 合法 的 通信 对 方 。 

(2) 对 数据 进行 加 密 ,隐藏 要 传输 的 信息 。 

(3) 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 算 改 。 

通过 以 上 叙述 ,SSL 协议 提供 的 服务 具有 以 下 3 个 特性 。 

(1) 机 密 性 。SSL 既 采 用 了 对 称 密 钥 加 密 , 也 采用 了 公开 密 钥 加 密 。 在 客户 机 与 服务 
器 交换 数据 之 前 , 先 交 换 SSL 的 初始 握手 信息 。SSL 的 初始 握手 信息 采用 了 各 种 加 密 技 
术 , 并 通过 数字 证 书 认证 ,可 以 有 效 地 防止 非 授 权 用 户 的 攻击 。 

(2) 完整 性 。SSL 使 用 哈 希 函数 和 共享 密 钥 对 需要 传送 的 消息 产生 消息 认证 码 
(MAC ) 进 行 检查 ,提供 数据 的 完整 性 服务 。 所 有 经 过 SSL 处 理 的 数据 都 能 够 完整 、 准 确 地 
传输 。 

(3) 可 靠 性 。 为 了 使 客户 机 与 服务 器 确信 数据 能 正确 发 送 ,SSL 对 用 户 和 服务 器 都 进 
行 了 认证 ,使 用 公开 密 钥 ,让 客户 机 和 服务 器 都 有 各 自 的 识别 号 ,并 在 SSL 的 握手 信息 中 进 
行 认证 ,以 确认 用 户 的 合法 性 。 

12.2.2 SSL 协议 规范 
SSL 协议 由 SSL 记录 协议 .握手 协议 、 加 密 规 范 修改 协议 和 报警 协议 组 成 。 
1. SSL 记录 协议 


在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 
记录 数据 组 成 的 。 所 有 的 SSL 通信 消息 (包括 握手 消息 、 报 警 消 息 ) 和 应 用 数据 都 使 用 SSL 
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记录 协议 进行 封装 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 格式 的 规定 。SSL 记录 协议 
为 SSL 提供 了 机 密 性 和 完整 性 服务 。 
SSL 记录 协议 的 工作 步骤 如 图 12. 2 所 示 。 
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附加 SSL RCR 
记录 报头 鞠 0 作 223 


12.2 SSL 记录 协议 的 操作 


(1) 分 段 。 将 从 上 层 接收 到 的 要 进行 发 送 的 数据 进行 分 段 , 分 成 长 度 为 2* 字 节 或 更 小 
的 分 段 。 

(2) 压缩 。 对 分 段 数据 进行 压缩 ,压缩 必须 是 无 损 的 ,而 且 不 会 增加 1024 个 字 节 以 上 
长 度 的 内 容 。SSL3.0 中 没有 指定 压缩 算法 ,因此 默认 压缩 算法 为 空 ,该 步骤 为 可 选 的 。 

(3) 使 用 MAC 算法 对 压缩 数据 计算 消息 认证 码 (MAC)。 具 体 计算 过 程 如 下 : 

H(MAC write_secret || pad_2 || H(MAC_write_secret | pad_1 || seq_num || SSLCompressed. type | 

SSLCompressed. Length || SSLCompressed. fragment) ) 

其 中 ， 

Q@ H(*) 是 喻 希 函 数 ,可 采用 MD5 或 SHA-1 算法 ,具体 的 算法 由 会 话 状态 中 的 加 密 规 

@ MAC _write_secret 是 双方 共享 的 保密 密 钥 。 

@ pad_2 为 填充 字段 ,由 字 节 0x5c 构成 。 若 使 用 MD5 算法 , 则 重复 48 次 ; 若 使 用 
SHA-1 算法 , 则 重复 40 次 。 

@ pad_1 为 填充 字段 ,由 字 节 0x36 构成 。 若 使 用 MD5 算法 , 则 重复 48 次 ; 若 使 用 
SHA-1 算法 , 则 重复 40 次 。 

@ seq_num 为 消息 序列 号 。 

@ SSLCompressed. type 为 用 来 处 理 分 段 的 高 层 协议 的 类 型 。 

@ SSLCompressed. length 为 压缩 后 的 分 段 长 度 。 

SSLCompressed. fragment 为 压缩 后 的 数据 分 段 , 如 果 未 压缩 ,那么 就 是 明文 分 段 。 

(4) 对 附加 了 MAC 的 消息 进行 加 密 。 加 密 对 内 容 长 度 的 增 大 不 得 超过 1024 字 节 。 由 
于 SSL 要 求 压缩 操作 后 长 度 的 增加 不 能 超过 1024 字 节 ,因此 报 文 加 MAC 的 总 长 度 将 不 超 
过 (16 384 十 2048) 字 节 。 加 密 采 用 对 称 加 密 , 加 密 算 法 也 在 会 话 状态 中 的 加 密 规 范 中 指定 。 
SSL 支持 的 加 密 算 法 有 IDEA(128 位 密 钥 )、RC2-40(40 位 密 钥 )、RC4-40(40 位 密 钥 ) 、RC4- 
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128(128 位 密 钥 )、DES-40(40 位 密 钥 )、DES(56 位 密 钥 )、3-DES(168 位 密 钥 ) 和 Fortezza 
(80 位 密 钥 ) 等 。 其 中 RC4-40、RC4-128 属于 序列 密码 ,Fortezza 可 用 于 智能 卡 加 密 。 

(5) 生成 一 个 SSL 记录 报头 ,构成 一 个 SSL 记录 ,如 图 12. 3 所 示 。SSL 记录 报头 中 包 
含 了 以 下 字段 。 

Q@ 内 容 类 型 (8 位 ): 用 于 说 明 处 理 该 数据 片 的 高 层 协议 的 类 型 。 内 容 类 型 包括 修改 加 
密 规 范 (change_cipher_spec)、 报 警 (alert)、 握 手 C(handshake) 和 应 用 数据 Capplication _ 
data) 。 

@ 主 版 本 号 (8 位 ): 说 明报 文 使 用 的 SSL 的 主 版 本 号 。 对 于 SSLv3 , 主 版 本 号 为 3。 

@ 次 版 本 号 (8 位 ): 说 明报 文 使 用 的 SSL 的 次 版 本 号 。 对 于 SSLv3 ,次 版 本 号 为 0。 

@ 压缩 长 度 (16 位 ): 压缩 长 度 定义 了 分 段 的 字 节 长 度 (包括 MAC) ,最 大 值 为 (16 384 十 
2048) 字 节 。 





内 容 类 型 主 版 本 次 版 本 压缩 长 度 














明文 
〈 可 选 压 缩 ) 





MAC(0 16 或 20 字 节 ) 











12.3 SSL 记录 的 格式 


2. SSL 握手 协议 

SSL 握手 协议 是 位 于 SSL 记录 协议 之 上 的 最 重要 的 协议 。 该 协议 使 客户 机 和 服务 器 
相互 认证 ,鉴别 对 方 的 身份 ,协商 安全 参数 ,包括 加 密 算法 `MAC 算法 及 加 密 密 钥 等 。SSL 
握手 协议 是 在 传送 应 用 程序 数据 之 前 使 用 的 。 

握手 协议 由 一 系列 客户 机 与 服务 器 之 间 交 换 的 消息 组 成 ,每 个 消息 都 有 3 个 字段 。 

(1) 类 型 (1 字 节 ) : 表示 本 次 握手 消息 的 类 型 。 

(2) 长 度 (3 字 节 ): 表示 消息 的 长 度 。 

(3) 内 容 ( 三 1 字 节 ): 表示 与 消息 有 关 的 参数 。 

SSL 握手 协议 定义 的 消息 类 型 有 以 下 10 种 。 

(1) hello_request: 握手 请 求 ,使 用 hello_request 消息 可 以 在 客户 机 和 服务 器 之 间 交 换 
涉及 安全 的 属性 内 容 。 

(2) client_hello: 客户 机 启动 握手 请 求 ,该 消息 是 客户 机 第 一 次 连接 服务 器 时 发 送 的 第 
一 条 消息 ,并 为 连接 设置 相应 的 安全 属性 ,包括 支持 的 各 种 算法 。 当 客户 机 发 送 该 消息 后 等 
待 服务 器 的 回应 ,只 有 服务 器 回应 相应 的 hello 消息 才能 建立 连接 ,否则 其 他 任何 响应 均 认 
为 连接 不 成 功 。 

(3) server_hello: 该 消息 是 服务 器 对 客户 机 client_hello 消息 的 回复 。 


(4) certificate: 该 消息 分 为 server_certificate 和 client_certificate,server_certificate 为 
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服务 器 提供 的 证 书 ,服务 器 在 发 送 了 server_hello 消息 后 同时 发 送 自己 的 证 书 ,证书 的 类 型 
一 般 为 X. 509v3; client_certificate 为 客户 机 提供 的 证 书 ,是 客户 机 在 收 到 服务 器 的 
certificate_request 消息 后 对 服务 器 作出 的 响应 。 

(5) server_key_exchange: 服务 器 密 钥 交换 , 当 服 务 器 没有 证 书 或 证 书 只 提供 签名 功 
能 而 不 提供 加 密 功能 时 ,需要 用 该 消息 来 交换 密 钥 。 

(6) certificate_request: 用 于 服务 器 向 客户 请 求证 书 。 

(7) server_hello_done: 该 消息 表示 服务 器 的 握手 请 求 已 经 发 送 完成 , 接 下 去 的 工作 就 
是 等 待 客户 机 的 响应 。 

(8) client_key_exchange: 客户 机 密 钥 交换 , 当 客 户 机 没有 证 书 或 证 书 只 提供 签名 功能 
而 不 提供 加 密 功 能 时 ,需要 用 该 消息 来 交换 密 钥 。 

(9) certificate_verify: 该 消息 用 于 向 服务 器 提供 对 客户 机 证 书 的 验证 ,主要 目的 是 为 
了 验证 客户 机 私 钥 的 所 有 权 。 

(10) finished: 该 消息 在 修改 加 密 规 范 消息 发 送 之 后 发 送 ,以 证 实 握手 成 功 。 通 信 双 方 
可 以 在 此 消息 发 送 后 使 用 新 的 安全 参数 进行 通信 ,交换 数据 。finished 必须 双向 发 送 ,表示 
服务 器 和 客户 机 双方 都 已 接收 了 修改 加 密 规 范 消息 。 

密 钥 交换 算法 和 加 密 规 范 是 SSL 协议 信息 交换 的 两 个 重要 的 安全 参数 。 在 SSL 协议 
中 , 密 钥 交换 算法 有 以 下 几 种 。 

(1) RSA: 使 用 接收 方 的 公 钥 对 会 话 密 钥 进行 加 密 。 

(2) 固定 的 Diffie-Hellman: 当 服 务 器 的 证 书包 含有 证 书 中 心 (CA) 的 Diffie-Hellman 
公 钥 参数 时 ,就 使 用 固定 的 Diffie-Hellman 密 钥 交换 算法 。 客 户 机 需要 在 证 书 中 提供 它 的 
Diffie-Hellman 公 钥 参数 ,或 者 在 密 钥 交换 消息 中 提供 证 书 。 

(3) 匿名 的 Diffie-Hellman: 使 用 基本 的 Diffie-Hellman 算法 ,没有 对 发 送 方 发 送 的 
Diffie-Hellman 公 钥 参数 进行 认证 。 该 方法 容易 遭受 中 间 人 的 攻击 。 

(4) 瞬时 的 Diffie-Hellman: 该 方法 用 于 创建 临时 或 一 次 性 的 加 密 密 钥 。 此 时 使 用 发 
送 方 的 RSA 或 DSS 私 钥 对 Diffie-Hellman 公 钥 参数 进行 签名 ,接收 方 使 用 相应 的 公 钥 验 
证 签名 。 巾 于 使 用 的 是 临时 密 钥 ,因此 是 3 种 Diffie-Hellman 方法 中 最 安全 的 。 

(5) Fortezza: 使 用 Fortezza 模式 所 用 的 方法 。 

加 密 规 范 是 另 一 个 重要 的 安全 参数 ,加 密 规 范 包含 以 下 内 容 。 

(1) 密码 算法 : IDEA (128 位 密 钥 )、.RC2-40(40 位 密 钥 )、RC4-40(40 位 密 钥 )、RC4- 
128(128 位 密 钥 ) .DES-40(40 位 密 钥 ) .DES-56(56 位 密 钥 )、3-DES(168 位 密 钥 )、Fortezza 
(80 位 密 钥 ) 等 。 

(2) MAC 算法: MD5 或 SHA-1。 

(3) 密码 类 型 : 序列 密码 或 分 组 密码 。 

(4) 散 列 长 度 : 0、128 位 (MD5) 或 160 位 (SHA-1)。 

(5) 密 钥 素材 : 生成 密 钥 所 使 用 的 数据 。 

(6) 初始 值 IV 的 大 小 : 分 组 密码 CBC 加 密使 用 的 初始 向 量 的 大 小 。 

整个 SSL 协议 的 握手 过 程 如 图 12.4 所 示 。 
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首先 由 客户 机 发 起 连接 ,建立 逻辑 连接 。 发 起 SSL 通信 的 客户 机 向 服务 器 发 送 client_ 
hello 消息 ,并 等 待 包含 与 消息 client_hello 参数 相同 的 server_hello 消息 的 到 来 ,该 消息 中 
包含 了 以 下 几 个 参数 。 


(01) 版 本 号 : 客户 机 能 够 支持 的 SSL 的 最 高 客户 机 服务 器 
版 本 号 。 client_hello 
(2) 随机 数 : 由 客户 机 产生 的 一 个 随机 数 , 一 本 se 


个 由 32 位 的 时 间 蕉 和 一 个 安全 的 随机 数 发 生 器 。 一 一 
产生 的 28 字 节 的 随机 数 。 该 随机 数 用 于 做 现时 


server_certificate 


值 (nonce) ,用 于 密 钥 交换 中 的 抗 重 放 攻 击 。 ee 

(3) 会 话 ID: 一 个 可 变 长 的 会 话 标识 符 。 如 Goninone request 
果 了 DD 为 0, 表 示 客 户 机 希望 在 新 的 会 话 上 建立 新 下 poo gone 一 一 | 
的 连接 ; 如 果 ID 不 等 于 0, 则 表示 希望 更 新 已 有 


连接 上 的 参数 。 | client_ certificate 
(4) 加 密 算法 列表 : 包含 了 客户 机 所 能 够 支 [cjient key exchange 
持 的 加 密 算法 的 列表 , 按 优先 级 降序 排列 。 表 中 


certificate_verify 


的 每 一 项 都 定义 密 钥 交换 算法 和 加 密 规 范 。 se | 
(5) 压缩 方法 : 客户 机 支持 的 压缩 算 
| finished 
下 一 步 ,服务 器 向 客户 机 发 送 server_certificate | 
消息 ,将 自己 的 证 书 发 给 客户 机 ,以 便 客 户 机 进行 本 和 
验证 ,当然 证 书 中 的 公 钥 算法 必须 适合 选 定 的 窗 ed 








钥 交换 算法 及 其 他 的 协议 约定 (该 步骤 可 选 ,对 于 
匿名 的 Diffie-Hellman 方法 不 需要 证 书 消息 )。 
对 于 固定 的 Diffie-Hellman 方法 ,因为 证 书 中 包 
含 了 服务 器 的 Diffie-Hellman 公 钥 参数 ,所 以 证 书 必须 作为 服务 器 的 密 钥 交换 消息 。 

然后 ,服务 器 立即 向 客户 机 发 送 server_key_exchange 消息 ,协商 密 钥 交换 算法 。 对 于 
固定 的 Diffie-Hellman 和 RSA 加密 密 钥 方 法 ,服务 器 不 需要 发 送 此 消息 。 

根据 密 钥 交换 方法 的 不 同 ,server_key_exchange 消息 的 内 容 分 别 如 下 。 

(1) 匿名 的 Diffie-Hellman: 包含 两 个 全 局 的 Diffie-Hellman 值 (素数 及 其 本 原 根 ) ,再 
加 上 服务 器 的 Diffie-Hellman 公 钥 。 

(2) 瞬时 的 Diffie-Hellman: 除了 两 个 全 局 的 Diffie-Hellman 值 (素数 及 其 本 原 根 ) 和 服 
务 器 的 Diffie-Hellman 公 钥 外 ,还 加 上 这 些 参数 的 签名 。 

(3) RSA 密 钥 交换 : 当 服务 器 只 使 用 RSA 的 签名 密 钥 时 ,客户 机 不 能 通过 使 用 服务 器 
的 公 钥 对 会 话 密 钥 进行 加 密 来 传送 密 钥 ,而 是 需要 服务 器 产生 临时 的 RSA 密 钥 对 ,然后 使 
用 server_key_exchange 发 送 公 钥 。 消 息 内 容 包 括 临时 的 公 钥 参数 (指数 和 模 ) 和 参数 的 签名 。 

如 果 服 务 器 需要 对 客户 机 进行 认证 , 接 下 来 服务 器 向 客户 机 发 送 certificate_request 消 
息 ,certificate_request 需要 客户 机 的 证 书 , 对 客户 机 进行 鉴别 。 证 书 类 型 表示 所 使 用 的 公 
钥 算 法 和 用 途 。 

(1) RSA: 仅 用 于 签名 。 

(2) DSS: 仅 用 于 签名 。 


图 12.4 SSL 协议 的 握手 过 程 
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(3) 固定 Diffie-Hellman 的 RSA: 此 时 ,发 送 RSA 签名 证 书 , 其 签名 仅 用 于 认证 。 

(4) 固定 Diffie-Hellman 的 DSS: 仅 用 于 认证 。 

(5) 瞬时 Diffie-Hellman 的 RSA。 

(6) 瞬时 Diffie-Hellman 的 DSS 。 

(7) Fortezza。 

然后 服务 器 发 送 server_hello_done, 表 示 结 束 服务 器 的 消息 ,此 时 服务 器 等 待 客户 机 的 
响应 。 
客户 机 收 到 服务 器 发 送 来 的 server_hello_done 消息 后 ,首先 验证 服务 器 证 书 和 服务 器 
提供 的 参数 是 否 合法 。 如 果 都 合法 ,客户 机 就 向 服务 器 发 起 响应 ,响应 消息 就 是 客户 机 发 送 
给 服务 器 提供 自身 认证 和 密 钥 的 消息 。 

当 客 户 机 收 到 certificate_request 消息 后 ,应 将 自己 的 证 书 发 送 给 服务 器 ,以 便 进行 鉴 
别 。 如 果 客 户 机 无 法 提供 合适 的 证 书 , 将 发 送 “ 无 证 书 ” 的 警告 消息 。 

然后 ,客户 机 创建 密 钥 K ,并 发 送 client_key_exchange 消息 ,完成 对 密 钥 K 的 协商 。 消 
息 的 内 容 取 决 于 密 钥 交换 的 类 型 。 

(1) RSA: 客户 机 生成 一 个 48 字 节 的 次 主 密 钥 ,并 用 从 服务 器 证 书 中 得 到 的 公 钥 或 从 
server_key_exchange 消息 中 得 到 的 临时 RSA 密 钥 进行 加 密 。 

(2) 瞬时 或 匿名 Diffie-Hellman: 发 送 客户 机 的 公共 Diffie-Hellman 参数 。 

(3) 固定 Diffie-Hellman: 在 证 书 消息 中 发 送 客户 机 的 公共 Diffie-Hellman 参数 。 因 
此 ,此 消息 内 容 为 空 。 

(4) Fortezza: 发 送 客户 机 的 Fortezza 参数 。 

如 果 客 户 机 的 证 书 具 有 签名 功能 的 话 ,客户 机 还 应 发 送 certificate_verify 消息 ,以 提供 
对 客户 机 证 书 的 验证 功能 。certificate_verify 消息 包含 数字 签名 ,该 签名 保证 了 客户 对 证 书 
中 私 钥 的 所 有 权 ,避免 有 人 误 用 或 盗用 证 书 而 产生 的 攻击 。certificate_verify 中 签名 的 内 
容 为 : 

CertificateVerify. signature. md5_hash 

MD5 (master_secret | pad 2 || MD5(handshake messages | master secret | pad 1)); 
CertificateVerify. signature. SHA_hash 
SHA(master_secret || pad 2 | SHA(handshake messages | master_secret | pad_1)); 

其 中 pad_1 和 pad_2 是 之 前 MAC 定义 的 值 ,handshake_messages 是 指 从 client_hello 开始 
到 本 消息 之 前 的 所 有 握手 协议 消息 ,master_secret 是 主 密 钥 。 如 果 用 户 私 钥 是 DSS, 则 用 
于 加 密 SHA-1 的 散 列 值 。 如 果 用 户 私 钥 是 RSA, 则 计算 MD5 和 SHA-1 两 个 算法 的 散 列 
值 ,并 将 两 个 散 列 值 连接 后 再 进行 加 密 。 

最 后 ,客户 机 发 送 change_cipher_spec 消息 启动 新 的 加 密 参 数 , 然 后 使 用 新 的 密码 算 
法 , 密 钥 发 送 新 的 finished 消息 ,对 密 钥 交换 和 身份 认证 的 正确 性 进行 验证 。 结 束 消息 的 内 
容 如 下 : 

MD5(master secret|| pad 2|| MD5(handshake messages|| Sender|| master_secret ‖ pad 1)) 

SHA(master_secret || pad 2| SHA(handshake messages|| Sender|| master secret ‖ pad 1)) 
其 中 ,Sender 是 用 来 认证 发 送 方 是 客户 机 的 代码 ,而 handshake_messages 是 除 本 消息 外 所 
有 握手 消息 的 数据 。 
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服务 器 收 到 后 也 同样 发 送 加 密 规 范 change_cipher_spec, 并 发 送 finished 消息 。 至 此 ， 
所 有 的 协商 工作 均 已 经 完成 ,就 可 以 开始 应 用 程序 数据 的 发 送 了 。 

3. 加 密 规 范 修改 协议 

加 密 规范 修改 协议 是 一 个 位 于 SSL 记录 协议 之 上 的 协议 。 该 协议 由 单个 消息 (change_ 
cipher_spec) 组 成 ,消息 中 只 包含 一 个 值 为 1 的 字 节 ,该 消息 的 作用 是 改变 连接 所 使 用 的 加 
密 规范 。 

在 SSL 中 ,通信 双方 都 有 各 自 独 立 的 读 状 态 (read_state) 和 写 状态 (write_state)。 读 状 
态 包 含 解压 、 解 密 、 验 证 MAC 的 算法 和 解密 密 钥 等 ; 写 状态 中 包含 压缩 加密 ,计算 MAC 
的 算法 和 加 密 密 钥 等 。 

同时 ,SSL 中 定义 了 两 种 状态 : 待定 状态 和 当前 操作 状态 。 待 定 状 态 包含 当前 协商 好 
的 压缩 ,加 密 `MAC 算法 及 密 钥 等 ;当前 操作 状态 包含 正在 使 用 的 压缩 ,加密 、MAC 算法 及 
密 钥 等 。 

当 通信 中 的 一 方 收 到 加 密 规 范 修改 协议 的 消息 后 ,就 将 待定 的 读 状 态 中 的 内 容 复 制 到 
当前 读 状态 中 ; 当 通 信 中 的 一 方 发 送 了 加 密 规 范 修 改 协 议 的 消息 后 ,就 将 待定 的 写 状 态 中 
的 内 容 复制 到 当前 写 状 态 中 。 

4. 报警 协议 

报警 协议 (SSL Alert Protocol) 用 于 为 对 方 实体 传递 SSL 的 相关 报警 。 报 警 协议 的 消 
息 报 文 与 其 他 应 用 程序 一 样 ,根据 当前 的 状态 进行 压缩 和 加 密 ,封装 在 SSL 记录 协议 中 ,由 
SSL 记录 协议 发 送 。 报 警 协议 的 每 条 消息 有 两 个 字 节 。 第 一 个 字 节 说 明报 警 的 级 别 , 用 于 
表示 消息 的 严重 性 。 协 议定 义 了 警告 (warning) 和 致命 错误 (fatal) 两 个 级 别 , 对 应 的 代码 值 
分 别 为 1 和 2。 如 果 是 警告 级 ,接收 方 将 判断 按 哪 一 个 级 别 来 处 理 消息 ; 如 果 是 致命 错误 
级 ,SSL 立即 终止 该 连接 ,同一 会 话 的 其 他 连接 可 以 继续 ,但 该 会 话 中 不 再 产生 新 的 连接 。 
消息 的 第 二 个 字 节 包含 了 特定 报警 代码 。 

5. 主 密 钥 的 计算 

主 密 钥 的 计算 分 为 两 个 阶段 : 首先 ,交换 次 密 钥 ; 接着 ,双方 共同 计算 主 密 钥 。 次 密 钥 
的 交换 有 以 下 两 种 可 能 。 

(1) RSA: 由 客户 机 生成 48 字 节 的 次 密 钥 ,用 服务 器 的 RSA 公 钥 加 密 后 发 往 服务 器 。 
服务 器 用 其 私 钥 解密 后 得 到 次 密 钥 。 

(2) Diffie-Hellman: 客户 机 和 服务 器 同时 生成 Diffie-Hellman 公 钥 , 密 钥 交换 后 ,通信 
双方 进行 相应 的 运算 ,创建 共享 次 密 钥 。 

交换 完 次 密 钥 后 ,双方 共同 计算 主 密 钥 ,计算 方法 如 下 : 

master_secret = MD5(pre_master_secret || SHA('A' || pre_master_secret || 

client_hello. random || server_hello. random)) | 
MD5(pre_master_secret || SHA('BB' || pre master secret || 
client_hello. random || server hello.random)) | 


MD5 (pre_master_ secret || SHA('CCC' || pre master secret | 
client hello. random || server_hello. random)) | 
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其 中 ,pre_master_secret 是 次 密 钥 ,client_hello. random 和 server_hello. random 是 两 个 初 


始 化 hello 消息 中 的 随机 数 。 
12.2.3 SSL 安全 性 


SSL 协议 是 为 客户 机 和 服务 器 之 间 在 不 安全 通道 上 的 通信 建立 安全 连接 而 设计 的 , 它 
在 进行 数据 交换 前 启动 握手 协议 进行 相应 的 安全 信息 交换 。 其 安全 特性 主要 体现 在 以 下 几 
个 方面 。 

(1) SSL 握手 协议 中 采用 了 DES 等 加 密 算法 对 客户 机 和 服务 器 之 间 传 送 的 数据 进行 
加 密 处 理 , 保 证 了 数据 的 机 密 性 ,能 够 防止 窃听” 及“ 中间 人 ”的 攻击 。 

(2) SSL 使 用 哈 希 函数 产生 所 需要 传输 数据 的 消息 验证 码 , 在 消息 验证 码 中 加 入 了 一 
个 不 断 变化 的 随机 数 , 在 保证 数据 完整 性 的 基础 上 ,还 具有 很 好 的 抗 重 放 攻 击 特性 。 

(3) SSL 采用 X. 509 数字 证 书 进行 认证 ,让 客户 机 和 服务 器 可 以 相互 认证 对 方 的 身份 ， 
具有 认证 的 能 力 。 

(4) SSL 与 应 用 层 协 议 相 互 独立 ,高 层 的 HTTP、FTP 和 Telnet 等 都 透明 地 建立 于 
SSL 协议 之 上 ,这 使 得 SSL 具有 与 应 用 协议 无 关 的 特性 。 

SSL 协议 是 为 解决 数据 传输 的 安全 问题 而 设计 的 ,实践 也 证 明了 它 针 对 窃听 和 其 他 的 
被 动 攻击 相当 有 效 。 但 是 由 于 协议 本 身 的 一 些 缺 陷 及 在 使 用 过 程 中 的 不 规范 行为 ,SSL 协 
议 仍然 存在 不 可 忽略 的 安全 脆弱 性 。 

(1) SSL 协议 无 法 提供 基于 UDP 应 用 的 安全 保护 。 由 于 SSL 协议 需要 在 握手 之 前 建 
立 TCP 连接 ,因此 不 能 对 UDP 应 用 进行 保护 。 因 此 ,在 UDP 协议 层 之 上 的 安全 保护 ,可 
以 采用 IP 层 的 安全 解决 方案 。 

(2) 加 密 强度 问题 。 由 于 美国 的 限制 ,出 口 的 SSL 所 使 用 的 RC4 算法 密 钥 强度 只 有 40 
位 ,这 就 导致 出 口 的 SSL 产品 的 加 密 强 度 大 大 减弱 。 这 项 规定 使 得 128 位 密 钥 在 美国 之 外 
的 地 方 变 成 不 合法 。 

(3) SSL 不 能 提供 交易 的 不 可 否认 性 。SSL 协议 没有 数字 签名 功能 ,没有 提供 不 可 抵 
赖 性 的 功能 。 若 要 增加 数字 签名 功能 ,必须 使 用 PKI 体系 加 以 完善 ,将 加 密 密 钥 和 数字 签 
名 密 钥 二 者 分 开 ,成 为 双 证 书 机 制 。 

(4) SSL 只 能 提供 客户 机 到 服务 器 之 间 的 两 方 认证 ,无 法 适应 电子 商务 中 的 多 方 交易 
业务 。 

(5) SSL 易 遭 受 change_cipher_spec 消息 丢弃 攻击 。 由 于 SSL 握手 协议 中 存在 一 个 漏 
洞 : 在 finished 消息 中 没有 对 变换 加 密 的 说 明 消息 进行 认证 处 理 ,在 接收 到 该 消息 前 ,不 做 
任何 加 密 处 理 和 MAC 保护 ,只 有 在 接收 到 change_cipher_spec 消息 之 后 ,记录 层 才 开始 对 
通信 数据 进行 加 密 和 完整 性 保护 。 这 种 处 理 机 制 使 得 SSL 易 遭 受 change_cipher_spec 消 
息 丢 弃 攻 击 。 

(6) SSL 无 法 避免 通信 业务 流 分 析 攻 击 。 由 于 SSL 位 于 TCP 协议 之 上 ,攻击 者 往往 能 
够 得 到 从 数据 链 路 层 或 IP 层 到 SSL 的 所 有 网 络 数 据 , 因 此 ,无 法 对 各 层 的 数据 报头 信息 进 
行 保护 ,导致 潜在 的 隐患 。 
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12.3 SET 协议 


SET(Secure Electronic Transaction ) 是 VISA International 和 MasterCard International 两 大 
信用 卡 公司 与 IBM、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa 等 厂商 合作 开发 的 。 
1997 年 5 月底 发 布 了 SET Specification Version 1.0, 它 是 面向 B2C 模式 的 ,完全 针对 信用 
卡 来 制定 ,涵盖 了 信用 卡 在 电子 商务 交易 中 的 交易 协定 、 信 息 保密 资料 完整 等 各 个 方面 。 


12.3.1 SET 概述 


SET 协议 主要 是 为 了 解决 用 户 、 商 家 和 银行 之 间 通 过 信用 卡 支付 的 交易 而 设计 的 ， 
保证 交易 的 安全 性 ,确保 支付 信息 的 机 密 、 完 整 及 合法 的 身份 认证 。SET 协议 主要 是 通 
过 使 用 公 钥 密码 算法 和 X. 509 数字 证 书 的 方式 来 解决 电子 商务 交易 过 程 中 的 安全 性 
问题 。 

SET 协议 要 达到 的 主要 目标 如 下 。 

(1) 保证 信息 在 Internet 上 的 安全 传输 ,保护 敏感 数据 不 被 非 授 权 人 员 窃 取 。 

(2) 保证 信息 的 完整 性 ,要求 SET 必须 保证 信息 在 传输 过 程 中 不 会 被 算 改 。 

(3) 订单 信息 和 账号 信息 的 隔离 ,在 将 包括 消费 者 账号 信息 的 订单 送 到 商家 时 ,商家 只 
能 看 到 订货 信息 ,而 看 不 到 消费 者 的 账号 信息 。 

(4) 各 个 参与 方 相互 认证 ,以 确定 通信 各 方 的 身份 ,不 仅 是 客户 和 在 线 商 家 之 间 能 够 进 
行 认证 ,同时 和 银行 之 间 也 能 进行 认证 。 一 般 由 第 三 方 机 构 负 责 为 在 线 通信 双方 提供 信用 
担保 。 

(5) 采用 最 好 的 安全 策略 和 设计 ,通过 严格 测试 的 协议 保护 电子 商务 交易 中 的 所 有 合 
法 方 。 

(6) 要 求 软件 遵循 相同 的 协议 和 消息 格式 ,使 不 同 厂 家 开发 的 软件 具有 兼容 和 互 操 作 
性 ,并 且 可 以 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 

SET 协议 的 安全 要 求 有 以 下 几 方面 。 

(1) 机 密 性 。SET 协议 中 通过 对 传输 的 信息 进行 加 密 处 理 , 使 用 公 钥 加 密 算法 与 对 称 
加 密 算法 相 结合 的 混合 加 密 算 法 对 支付 信息 进行 加 密 来 保证 信息 的 机 密 性 。 通 过 使 用 支付 
网 关 的 公 钥 加 密会 话 密 钥 ,保证 只 让 应 该 看 到 某 信 息 的 主体 看 到 信息 。SET 协议 使 用 安全 
可 靠 的 支付 流程 ,使 得 商家 解密 后 得 到 订单 信息 .银行 解密 后 得 到 支付 信息 ,这 样 即使 支付 
信息 是 通过 商家 传 给 银行 的 ,但 是 商家 无 法 看 到 支付 信息 的 详细 情况 ,同时 银行 也 看 不 到 订 
单 信息 ,从 而 确保 商家 看 不 到 持 卡 人 的 账号 和 密码 信息 ,银行 看 不 到 持 卡 人 的 购物 信息 。 

(2) 数据 完整 性 。SET 协议 使 用 数字 签名 来 保证 数据 的 完整 性 。SET 协议 使 用 安全 
哈 希 函数 (如 SHA-1) 的 数字 签名 。SHA-1 能 将 任意 长 度 的 消息 生成 160 位 的 散 列 值 ,因此 
如 果 散 列 值 中 的 某 几 位 发 生变 换 , 那 么 消息 摘要 中 的 数据 就 会 有 很 大 的 变化 。 哈 希 函数 的 
单 向 性 也 使 得 从 消息 摘要 得 出 消息 原文 在 计算 上 是 不 可 行 的 。 消 息 摘要 和 消息 一 起 传输 ， 
以 便 接收 者 验证 消息 在 传输 过 程 中 是 否 被 算 改 ,如 果 消 息 在 传输 的 过 程 中 被 算 改 ,此 时 接收 
者 用 哈 希 函数 对 接收 到 的 消息 进行 运算 后 得 到 的 消息 摘要 与 发 送 者 发 来 的 消息 摘要 就 会 不 


第 12 章 电子 商务 安全 301 





同 , 从 而 检测 到 消息 已 被 算 改 ,这样 就 保证 了 消息 的 完整 性 。 

(3) 可 审 性 。 可 审 性 是 电子 商务 中 非常 重要 的 环节 ,在 SET 中 ,可 审 性 主要 由 身份 认 
证 来 实现 。SET 协议 使 用 数字 证 书 来 确认 商家 、 持 卡 人 ,发 卡 行 和 支付 网 关 的 身份 ,为 网 上 
交易 提供 了 一 个 完整 的 可 信赖 环境 。SET 协议 是 一 个 基于 可 信 的 第 三 方 认证 中 心 的 方案 ， 
在 SET 协议 中 证 书 授权 机 构 扮 演 了 很 重要 的 角色 。SET 协议 提供 了 通过 证 书 授权 机 构 对 
各 个 参与 方 颁发 证 书 的 方法 来 保证 进行 交易 的 各 个 参与 方 能 够 互相 信任 。 

(4) 不 可 否认 性 。 因 为 交易 双方 在 发 出 信息 时 是 经 过 自己 的 私 钥 作 数字 签名 的 ,而 私 
钥 只 有 用 户 自 己 保管 ,所 以 可 以 认为 只 有 拥有 该 私 钥 的 人 才能 发 出 经 过 其 数字 签名 的 信息 ， 
即 保证 了 消息 的 不 可 否认 性 。 

SET 协议 的 参与 方 主要 由 持 卡 人 、 商 家 、 支 付 网 关 \ 证 书 授权 机 构 、 发 卡 行 和 收 单行 等 
六 部 分 组 成 ,如 图 12.5 所 示 。 






支付 网 络 





收 单行 


图 12.5 SET 的 各 个 参与 方 





(1) 持 卡 人 。 持 卡 人 是 网 上 消费 者 或 客户 。SET 支付 系统 中 的 网 上 消费 者 或 客户 首先 
必须 是 信用 卡 或 借 记 卡 的 持 卡 人 。 持 卡 人 要 参与 网 上 交易 ,首先 要 向 所 属 发 卡 行 申请 ,经 发 
卡 行 认可 ,由 发 卡 行 委托 第 三 方 中 立 机 构 一 一 证 书 授权 机 构 (CA) 发 放 数字 证 书后 , 持 卡 人 
才 具 备 上 网 交易 资格 。 

持 卡 人 上 网 交易 是 由 一 个 嵌入 在 浏览 器 中 的 电子 钱包 来 实现 的 。 持 卡 人 的 电子 钱包 具 
有 发 送 、 接 收 信息 ,存储 自身 的 公 钥 签名 密 钥 和 交易 参与 方 的 公开 密 钥 交换 密 钥 ,申请 、 接 收 
和 保存 认证 等 功能 。 除 了 这 些 基 本 功能 外 ,电子 钱包 还 必须 支持 网 上 购物 的 其 他 功能 ,如 增 
圳 信用 卡 、 改 变 密码 口令 、 检 查 认证 状态 、 显 示 信 用 卡 信 息 和 交易 历史 记录 等 功能 。 

(2) 商家 。 商 家 是 SET 支付 系统 中 网 上 商店 的 经 营 者 。 商 家 首先 必须 在 收 单 银 行 开 
设 账 户 , 由 收 单 银 行 负责 交易 中 的 清算 工作 。 商 家 要 取得 网 上 交易 资格 ,首先 要 由 收 单 银行 
对 其 进行 审定 和 信用 评估 ,一 旦 通过 审定 ,然后 由 收 单 银行 委托 证 书 授权 机 构 发 给 商家 数字 
证 书 。 有 了 证 书 ,商家 方 可 上 网 营业 。 商 家 上 网 必须 有 商户 软件 支持 。 商 家 软件 必须 能 完 
成 服务 器 和 客户 机 的 功能 。 它 必须 具备 处 理 持 卡 人 的 申请 和 与 支付 网 关 进 行 通信 ,存储 自 
身 的 公 钥 签名 密 钥 和 公 钥 交换 密 钥 , 以 及 交易 参与 方 的 公开 密 钥 交换 密 钥 ,申请 和 接收 认 
证 ,与 后 台数 据 库 进行 通信 及 保留 交易 记录 等 方面 的 功能 。 

(3) 支付 网 关 。 支 付 网 关 一 边 连 接 因特网 ,一 边 通过 银行 网 络 与 收 单 银行 相连 。 它 完 
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成 SET 协议 和 现存 银行 交易 系统 协议 (如 ISO8583 协议 ) 之 间 的 信息 格式 转换 ,实现 传统 银 
行 网 络 上 的 支付 功能 在 因特网 上 的 延伸 。SET 支付 系统 中 的 支付 网 关 首 先 必 须 由 收 单 银 
行 授 权 , 再 由 CA 发 放 数字 证 书 , 方 可 参与 网 上 支付 活动 。 

支付 网 关 具 有 确认 商家 ,解密 从 持 卡 人 处 得 到 的 支付 信息 ,验证 持 卡 人 的 证 书 与 在 
购物 中 所 使 用 的 账号 是 否 匹 配 ,验证 持 卡 人 和 商家 申请 信息 的 完整 性 、 签 署 数字 响应 等 
功能 。 

(4) 证 书 授权 机 构 。 证 书 授权 机 构 , 有 时 也 称 为 证 书 权威 机 构 , 是 可 信 的 第 三 方 组 织 ， 
为 交易 各 方 所 信赖 。 它 接受 发 卡 行 和 收 单行 的 委托 ,对 持 卡 人 、 商 家 和 支付 网 关 发 放 数 字 证 
书 , 以 便 交易 中 的 所 有 成 员 作 为 身份 验证 。 

(5) 发 卡 行 。 为 持 卡 人 建立 银行 账号 ,为 持 卡 人 发 行 信 用 卡 或 借 记 卡 。 发 卡 行 主 要 进 
行 授权 支付 和 资金 清算 的 工作 。 

(6) 收 单行 。 为 在 线 交 易 的 商家 建立 银行 账号 ,并 且 处 理 持 卡 人 信用 卡 的 授权 和 商家 
信用 卡 的 授权 工作 。 


12.3.2 SET 的 安全 技术 


1. 数字 信封 

为 了 充分 发 挥 对 称 加 密 和 非 对 称 加 密 各 自 的 优点 ,在 SET 协议 中 对 信息 的 加 密 将 两 者 
充分 结合 起 来 同时 使 用 。 数 字 信封 类 似 于 普通 信封 ,是 为 了 解决 密 钥 传送 过 程 的 安全 而 产 
生 的 技术 。 

如 图 12. 6 所 示 ,数字 信封 的 基本 原理 是 : 首先 将 要 传送 的 消息 用 对 称 密 钥 加 密 , 但 这 
个 密 钥 不 是 由 双方 约定 ,而 是 由 发 送 方 随机 产生 ,用 此 随机 产生 的 对 称 密 钥 对 消息 进行 加 
密 ; 然后 将 此 对 称 密 钥 用 接收 方 的 公开 密 钥 加 密 ,就 好 像 用 信封 封装 起 来 ,所 以 称 为 数字 信 
封 ; 接收 方 收 到 消息 后 ,用 自己 的 私人 密 钥 解密 数字 信封 ,得 到 随机 产生 的 对 称 密 钥 ; 最 后 
用 此 对 称 密 钥 对 所 收 到 的 密 文 解密 ,得 到 消息 原文 。 
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图 12.6 数字 信封 原理 


由 于 数字 信封 用 消息 接收 方 的 公开 密 钥 加 密 , 只 能 用 接收 方 的 私人 密 钥 才 能 解密 ,其 他 
人 无 法 得 到 信封 中 的 对 称 密 钥 ,因而 确保 了 信息 的 安全 。 

2. 双重 签名 

持 卡 人 在 网 上 向 商家 要 求购 买 商 品 ,如 果 商 家 接受 这 笔 交易 ,就 在 网 上 向 银行 要 求 授 
权 , 但 是 持 卡 人 不 愿意 让 商家 知道 自己 的 账号 等 信息 ,也 不 愿意 让 银行 知道 他 用 这 笔 钱 买 了 
什么 物品 ,为 了 解决 这 个 问题 就 可 以 采用 双重 签名 。SET 系统 中 双重 数字 签名 的 产生 和 验 
证 过 程 如 下 。 
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1) 双重 数字 签名 的 产生 过 程 

(1) 持 卡 人 通过 SHA-1 算法 分 别 生成 订购 信息 OI 与 支付 指令 PI 的 消息 摘要 H(OD 
和 HCPD) 。 

(2) 把 消息 摘要 H(OID) 和 H(PI) 连 接 起 来 得 到 消息 OP。 

(3) 通过 Hash 算法 生成 OP 的 消息 摘要 HCOP) 。 

(4) 用 持 卡 人 的 私人 密 钥 加 密 HCOP) 得 到 双重 数字 签名 Sign(H(OP))。 

(5) 持 卡 人 将 消息 (OI, H(PD ,SignCHCOP))) 用 临时 密 钥 K, 进行 加 密 ,接着 使 用 商家 
的 公开 密 钥 对 临时 密 钥 K, 进行 加 密 , 将 加 密 后 的 结果 发 送 给 商家 ; 将 消息 (PI, H (OD， 
Sign(H(OP))) 用 临时 密 钥 K, 进行 加 密 ,接着 使 用 银行 的 公开 密 钥 对 临时 密 钥 K, 进行 加 
密 , 将 加 密 后 的 结果 发 送 给 银行 。 

双重 签名 的 产生 过 程 如 图 12.7 一 图 12.9 所 示 。 
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图 12.7 双重 签名 的 产生 过 程 
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图 12.9 消费 者 发 给 商家 的 消息 
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2) 双重 签名 的 验证 过 程 

(1) 商家 将 收 到 的 消息 用 自己 的 私人 密 钥 对 数字 信封 进行 解密 得 到 临时 会 话 密 钥 , 然 
后 使 用 临时 会 话 密 钥 对 密 文 进行 解密 ,将 消息 OI 生成 消息 摘要 H(OD; 同样 ,银行 将 收 到 
的 消息 用 自己 的 私人 密 钥 对 数字 信封 进行 解密 得 到 临时 会 话 密 钥 ,然后 使 用 临时 会 话 密 钥 
对 密 文 进行 解密 ,将 消息 PI 生成 消息 摘要 H(PD。 

(2) 商家 将 生成 的 消息 摘要 H(OD 和 接收 到 的 消息 摘要 H(PD 连接 成 新 的 消息 NOP; 
银行 将 生成 的 消息 摘要 HCPI) 和 接收 到 的 消息 摘要 H(OD 连 接 成 新 的 消息 NOP。 

(3) 商家 将 消息 NOP 生成 消息 摘要 H (NOP); 银行 将 消息 NOP 生成 消息 摘要 
HCNOP) 。 

(4) 商家 和 银行 均 用 持 卡 人 的 公开 密 钥 解密 收 到 的 双重 数字 签名 Sign(H(OP)) 得 到 
HCOP) 。 

(5) 商家 将 HINOP) 和 H(COP) 进 行 比 较 , 银 行将 HICNOP) 和 H(COP) 进 行 比较 , 若 相 
同 , 则 证 明 商 家 和 银行 所 接收 到 的 消息 是 完整 有 效 的 。 经 过 这 样 处 理 后 ,商家 就 只 能 看 到 订 
购 信息 (OD ,而 看 不 到 持 卡 人 的 支付 信息 (PD; 同样 ,银行 只 能 看 到 持 卡 人 的 支付 信息 
(PD ,而 看 不 到 持 卡 人 的 订购 信息 (OD 。 

双重 签名 的 验证 过 程 如 图 12. 10 和 图 12. 11 所 示 。 
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图 12.10 银行 验证 双重 签名 的 过 程 
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图 12.11 商家 验证 双重 签名 的 过 程 
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3. SET 协议 的 混合 加 密 过 程 

在 实际 应 用 中 ,SET 协议 的 加 密 解 密 是 以 上 各 种 安全 技术 的 综合 运用 ,只 有 这 样 才 能 
保证 信息 的 机 密 性 、 完 整 性 、 真 实 性 有效 性 及 不 可 否认 性 ,才能 确保 电子 商务 的 顺利 进行 。 
其 原理 如 图 12. 12 所 示 。 


接收 方 的 证 书 | 

















哈 希 
函数 
接收 方 交易 数据 消息 摘要 


临时 对 称 et 
密 铀 K 匹配 吗 ? 


| | 数字 签名 |E 一 一 | 消息 摘要 


发 送 方 
发 送 方 的 证 私 钥 



























































































































图 12.12 SET 协议 的 混合 加 密 过 程 


具体 步骤 如 下 。 

(1) 发 送 方 对 接收 方 的 数字 证 书 进行 认证 。 

(2) 发 送 方 将 交易 数据 进行 Hash 运算 ,生成 消息 摘要 。 

(3) 用 发 送 方 的 私 钥 对 消息 摘要 进行 加 密 , 得 到 数字 签名 。 

(4) 发 送 方 用 随机 生成 的 对 称 密 钥 对 交易 数据 、 数 字 签 名 及 发 送 方 的 数字 证 书 进行 加 
密 , 得 到 密 文 。 每 次 交易 对 称 密 钥 都 是 随机 生成 的 ,都 不 相同 。 

(5) 发 送 方 用 从 接收 方 数字 证 书 中 得 到 的 接收 方 的 公开 密 钥 对 对 称 密 钥 加 密 , 生 成 数 
字 信封 。 

(6) 发 送 方 将 密 文 数字 信封 一 起 发 送 给 接收 方 。 

(7) 接收 方 收 到 消息 后 ,首先 使 用 自己 的 私 钥 对 数字 信封 进行 解密 ,得 到 对 称 密 钥 。 

(8) 接收 方 用 对 称 密 钥 对 密 文 进行 解密 ,得 到 交易 数据 、 数 字 签 名 和 发 送 方 的 数字 
证 书 。 

(9) 接收 方 用 从 发 送 方 数字 证 书 中 得 到 的 发 送 方 的 公 钥 对 数字 签名 进行 解密 ,得 到 消 
息 摘要 。 

(10) 接收 方 对 交易 数据 进行 Hash 运算 ,生成 新 的 消息 摘要 。 

(11) 接收 方 比较 两 个 消息 摘要 ,以 确定 消息 的 完整 性 。 


12.3.3 SET 的 工作 原理 


1. SET 的 购物 流程 
SET 协议 的 工作 流程 与 实际 的 购物 流程 非常 接近 ,使 得 电子 商务 与 传统 商务 可 以 很 容 
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易 融 合 ,用 户 使 用 起 来 也 没有 什么 障碍 。 从 顾客 通过 浏览 器 进入 在 线 商店 开始 ,一 直到 所 订 
货物 送 货 上 门 或 所 订 服 务 完成 ,以 及 账户 上 的 资金 转移 ,所 有 这 些 都 是 通过 Internet 来 完成 
的 。 如 何 保证 网 上 传输 数据 的 安全 和 交易 对 方 的 身份 确认 是 电子 商务 能 否 得 到 推广 的 关 
键 。 这 正 是 SET 所 要 解决 的 最 主要 的 问题 。 一 个 完整 的 基于 SET 的 购物 处 理 流程 如 下 。 

(1) 持 卡 人 利用 浏览 器 在 商家 的 主页 上 查看 ,并 选 定 所 要 购买 的 物品 ,然后 填写 相应 的 
订货 单 。 订 单 中 包括 商品 名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 订 单 可 以 从 商家 的 服 
务 器 以 电子 形式 发 放 , 也 可 以 通过 电子 购物 软件 在 持 卡 人 自己 的 计算 机 上 创建 。 

(2) 持 卡 人 选择 支付 方式 ,此 时 SET 协议 开始 介入 。 

(3) 持 卡 人 在 验证 商家 的 身份 之 后 ,向 商家 发 送 一 个 包含 完整 的 订购 信息 和 支付 信息 
的 订单 。 

(4) 商家 收 到 持 卡 人 发 送 过 来 的 订单 后 ,验证 持 卡 人 的 身份 ,同时 向 持 卡 人 的 信用 卡 所 
属 的 发 卡 行 请 求 支 付 授权 ,通过 支付 网 关 到 银行 ,再 到 发 卡 行 确认 ,批准 交易 ,然后 返回 应 答 
给 商家 ,支付 授权 被 批准 。 

(5) 商家 向 持 卡 人 发 送 订单 确认 信息 。 

(6) 持 卡 人 收 到 订单 确认 信息 后 ,其 SET 软件 记录 交易 日 志 , 以 备 将 来 查询 。 

(7) 商家 发 送 货物 (由 物流 公司 ) 或 提供 服务 。 

(8) 商 家 请 求 支付 ,支付 网 关 根 据 支 付 网 络 的 处 理 流程 将 货款 从 持 卡 人 的 信用 卡 账户 转 
到 商家 的 账户 中 。 

从 以 上 SET 交易 过 程 可 知 ,从 第 (2) 步 开始 ,SET 起 作用 ,一 直到 第 (8) 步 。 在 处 理 过 
程 中 ,通信 协议 ,请 求 信 息 的 格式 ,数据 类 型 的 定义 等 ,SET 都 有 明确 的 规定 。 在 操作 的 每 
一 步 , 持 卡 人 、 商 家 、 支 付 网 关 都 通过 CA 来 验证 通信 主体 的 身份 ,以 确保 通信 的 对 方 不 是 冒 
名 顶替 。 因 此 也 可 以 简单 地 认为 ,SET 协议 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 在 任何 开 
放 网 络 上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 

2. SET 的 支付 流程 

一 项 SET 交易 需要 持 卡 人 \、 商 家、CA、 支 付 网 关 、 发 卡 行 和 收 单行 共同 参与 ,而 且 持 卡 
人 、 商 家 和 支付 网 关 之 间 的 每 次 交易 都 需要 经 过 认证 ,支付 网 关 处 理 商 家 的 每 次 交易 , 持 卡 
人 没有 直接 参与 和 支付 网 关 的 对 话 。 整 个 SET 的 支付 过 程 需要 经 历 证 书 注册 、 购 买 请 求 、 
支付 授权 ,资金 清算 4 个 阶段 。 

1) 证 书 注册 

在 SET 中 ,每 个 主体 都 有 自己 相应 的 数字 证 书 , 证 书包 括 账号 有效期 等 信息 ,用 来 标 
识 自己 的 合法 身份 。 因 此 在 SET 协议 开始 之 前 ,用 户 都 必须 向 CA 申请 证 书 。 

CA 申请 和 审核 证 书 的 过 程 如 下 。 

(1) 用 户 向 CA 发 出 申请 ,请 求 注 册 。 

(2) CA 响应 用 户 的 申请 消息 ,并 发 送 自己 的 证 书 。 

(3) 用 户 收 到 CA 的 应 答 ,验证 证 书 合 格 后 ,向 CA 申请 注册 表格 。 

(4) CA 处 理 用 户 请 求 ,发 出 相应 的 注册 登记 表 。 

(5) 用 户 填写 注册 登记 表 , 同 时 产生 密 钥 对 ,将 公 钥 和 登记 表 发 送 给 CA ,并 请 求证 书 。 

(6) CA 通过 验证 用 户 信息 ,处 理 证 书 请 求 ,创建 证 书 并 生成 CA 对 该 证 书 的 数字 签名 ， 
将 其 发 回 给 用 户 。 
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其 中 ,用 户 生 成 的 密 钥 对 是 基于 RSA 算法 的 ,以 后 就 是 通过 它们 来 进行 数字 签名 和 身 
份 认证 , 公 钥 将 置 于 用 户 的 数字 证 书 中 ,确保 私 钥 安 全 是 用 户 自身 的 责任 。 

2) 购买 请 求 

在 进入 购买 请 求 之 前 , 持 卡 人 必须 完成 了 浏览 、 选 购 及 订货 之 后 ,商家 向 持 卡 人 发 送 一 
张 完整 的 订单 , 持 卡 人 才 开 始 进 入 购买 请 求 阶段 。 购 买 请 求 阶段 的 交互 信息 由 4 种 消息 组 成 
初始 请 求 (Initiate Request) ,初始 响应 (Initiate Response) ,购买 请 求 (Purchase Request) 、 
购买 响应 (Purchase Response)。 

(1) 初始 请 求 。 为 了 能 够 实现 与 商家 之 间 的 SET 消息 报 文 的 交互 , 持 卡 人 需要 使 用 商 
家 的 证 书 及 支付 网 关 的 证 书 。 为 取得 这 些 证 书 , 持 卡 人 向 商家 发 出 “初始 请 求 ”, 请 求 得 到 商 
家 和 支付 网 关 的 数字 证 书 ,包括 用 户 为 该 请 求 分 配 的 ID 号 ,一 个 用 于 表示 时 效 性 的 随机 数 、 
持 卡 人 的 证 书 等 。 

(2) 初始 响应 。 商 家 收 到 初始 请 求 后 ,对 持 卡 人 作出 响应 。 该 响应 消息 包括 标识 本 次 
交易 的 订单 的 ID 号 、 初 始 请 求 中 表示 时 效 性 的 随机 数 、 商 家 新 生成 的 表示 时 效 性 的 随机 数 ， 
并 使 用 商家 的 私 钥 对 该 消息 进行 签名 。 将 签名 后 的 响应 消息 连同 支付 网 关 证 书 和 商家 证 书 
构成 一 个 完整 的 初始 响应 的 消息 报 文 一 起 发 送 给 持 卡 人 。 

(3) 购买 请 求 。 持 卡 者 通过 CA 签名 验证 商家 和 支付 网 关 的 证 书 ,然后 生成 订购 信息 
(Order Instruction,OJ) 和 支付 信息 (Payment Instruction,PI) 。OI 包括 本 次 交易 的 订单 号 、 
表示 时 效 性 的 随机 数 和 种 子 ,PI 包括 本 次 交易 的 订单 号 .表示 时 效 性 的 随机 数 、 银 行 账号 、 
银行 卡 口令 和 本 次 交易 费用 。OI 不 包含 显 式 的 订购 数据 ,如 商品 数量 和 价格 ,但 包含 一 条 
订单 应 用 。 订 单 应 用 是 在 第 一 条 SET 消息 之 前 的 购物 阶段 中 由 客户 和 商家 的 信息 交换 过 
程 中 产生 的 。 

为 了 保护 支付 信息 的 机 密 性 , 持 卡 人 产生 一 次 性 的 对 称 加 密 的 会 话 密 钥 K1 用 于 对 支 
付 信息 进行 加 密 。 

持 卡 人 首先 构造 双重 签名 Sign(H(OP))。 先 由 持 卡 人 计算 PI 和 OI 的 消息 摘要 
H(PD 和 H(OD ,再 使 用 自身 私 钥 对 其 进行 双重 签名 ,产生 签名 Sign(H(OP))。 整 个 购买 
请 求 报 文 由 三 部 分 组 成 ,如 图 12. 13 所 示 。 

第 一 部 分 是 持 卡 人 使 用 会 话 密 钥 K1 对 支付 信息 、 双 重 签名 Sign(H(OP)) 和 订购 信息 
的 消息 摘要 H(COD 进行 加 密 , 并 使 用 支付 网 关 的 公 钥 对 会 话 密 钥 Kl 进行 加 密 , 称 为 数字 信 
封 ,形成 购买 请 求 的 第 一 部 分 ,这 部 分 是 与 支付 相关 的 信息 ,由 商家 转发 给 支付 网 关 。 

第 二 部 分 是 与 订购 相关 的 信息 ,这 部 分 信息 是 商家 处 理 交 易 所 需要 的 信息 ,包含 订购 信 
息 、 双 重 签名 Sign(H(OP)) 和 支付 信息 的 消息 摘要 H(PD 。 

“购买 请 求 ”消息 报 文 还 需要 包含 持 卡 人 的 证 书 , 商 家 和 支付 网 关 都 需要 使 用 证 书 上 的 
公 钥 来 对 签名 进行 验证 。 

第 三 部 分 是 持 卡 人 使 用 密 钥 K2 对 “购买 请 求 * 的 消息 报 文 进行 加 密 , 并 使 用 商家 的 公 
钥 对 K2 进行 加 密 , 并 发 送 给 商家 。 

(4) 购买 响应 。 商 家 收 到 购买 请 求 信息 后 ,将 作出 相应 的 购买 响应 。 

@ 商家 通过 CA 的 签名 验证 持 卡 人 的 证 书 。 

@ 使 用 持 卡 人 的 公 钥 对 双重 签名 Sign((H(OP)) 进 行 验 证 ,检查 订单 信息 在 传送 过 程 
中 是 否 被 簧 改过。 
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@ 处 理 订购 信息 ,同时 将 支付 信息 转发 给 支付 网 关 。 

@ 向 持 卡 人 发 送 “ 购 买 响应 ”的 消息 报 文 。 

“购买 响应 ?消息 报 文 包含 交易 的 订单 号 .表示 时 效 性 的 随机 数 和 用 于 确认 订购 的 响应 
数据 ,该 响应 数据 需要 用 商家 的 私 钥 进 行 签名 ,并 连同 商家 的 证 书 一 起 发 送 给 持 卡 人 。 























































































































PI 1 加 密 中 密 文 
| 
H(OD K1 上 守 加 客站 数字 信封 
ES 支付 网 关 | LePD 
Sign(H(OP)) 公 钥 ol 
双重 签名 
Sign(H(OP)) 


图 12.13 持 卡 人 发 送 购 买 请 求 


持 卡 人 收 到 “购买 响应 ”消息 报 文 后 首先 验证 商家 的 证 书 , 然 后 验证 响应 数据 上 的 签名 ， 
如 图 12. 14 所 示 。 
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12.14 商家 验证 持 卡 人 的 购买 请 求 


3) 支付 授权 

支付 授权 消息 是 在 商家 与 支付 网 关 之 间 交换 的 信息 。 在 商家 处 理 客 户 订 购 信息 的 过 程 
中 ,需要 支付 网 关 认可 和 授权 。 授 权 支 付 确保 这 笔 交 易 是 经 发 卡 行 确认 的 ,保证 商家 能 收 到 
货款 或 服务 费 ,因此 商家 可 以 向 顾客 提供 商品 或 服务 。 

支付 授权 的 交互 过 程 由 两 条 消息 组 成 : 授权 请 求 和 授权 响应 。 授 权 请 求 是 商家 向 支付 


第 12 章 电子 商务 安全 309 





网 关 发 送 的 消息 报 文 ,其 内 容 如 下 。 

(1) 来 自持 卡 人 与 支付 有 关 的 信息 。 

Q@ 支付 信息 。 

@ 双重 签名 Sign(H(OP))。 

@ 订购 信息 的 消息 摘要 H(OD 。 

@ 数字 信封 : 使 用 支付 网 关 的 公 钥 对 会 话 密 钥 Kl 进行 加 密 的 密 文 。 

(2) 商家 产生 的 与 授权 支付 有 关 的 信息 。 

@ 将 表示 本 次 交易 的 订单 号 .表示 时 效 性 的 随机 数 和 本 次 交易 费用 合 起 来 组 成 一 个 数 
据 块 , 使 用 商家 的 私 钥 进行 数字 签名 ,并 使 用 一 个 由 商家 生成 的 会 话 密 钥 K, 进行 加 密 。 

@ 数字 信封 : 使 用 支付 网 关 的 公 钥 对 商家 生成 的 会 话 密 钥 K, 进行 加 密 后 的 密 文 。 

@ 持 卡 人 和 商家 的 证 书 。 

(3) 支付 网 关 处 理 授权 支付 请 求 。 支 付 网 关 接 收 到 授权 支付 请 求 ,执行 以 下 操作 。 

@ 验证 持 卡 人 和 商家 的 证 书 。 

@ 使 用 自身 的 公 钥 对 来 自持 卡 人 的 与 支付 相关 的 信息 的 数字 信封 进行 解密 ,获得 会 话 
密 钥 Kl1。 

G) 使 用 密 钥 K1 对 持 卡 人 的 支付 信息 进行 解密 。 

@ 使 用 自身 的 公 钥 对 来 自 商家 的 授权 支付 信息 的 数字 信封 进行 解密 ,获得 会 话 密 
钥 K,。 
@ 使 用 密 钥 K, 对 商家 的 授权 支付 信息 进行 解密 。 

@ 验证 与 支付 相关 的 信息 中 的 双重 签名 Sign(HCOP) ) 。 

@ 验证 从 商家 提交 的 交易 ID 与 持 卡 人 支付 信息 中 交易 ID 是 否 一 致 。 

@ 从 持 卡 人 的 支付 信息 得 到 持 卡 人 卡号 ,根据 卡号 识别 发 卡 银行 ,然后 请 求 发 卡 行 验 
证 发 卡 人 的 支付 能 力 。 

@ 得 到 发 卡 行 响应 后 ,支付 网 关 向 商家 返回 授权 响应 消息 。 

授权 响应 消息 包括 以 下 内 容 。 

Q@ 由 支付 网 关 对 本 次 交易 订单 号 .表示 时 效 性 的 随机 数 和 本 次 交易 费用 进行 的 签名 ， 
并 用 支付 网 关 生 成 的 一 次 性 密 钥 进行 加 密 的 授权 数据 块 。 

@ 用 商家 公 钥 加 密 一 次 性 密 钥 的 数字 信封 。 

@ 捕获 标记 (Capture Token) 。 

@ 支付 网 关 的 证 书 。 有 了 支付 网 关 的 证 书 ,商家 就 可 以 给 持 卡 人 提供 货物 或 服务 了 。 

(4) 获得 支付 网 关 的 授权 后 ,商家 就 可 以 向 用 户 提供 货物 或 服务 了 。 

4) 资金 清算 

为 了 切实 地 得 到 客户 支付 的 款项 ,商家 还 需 与 支付 网 关 交互 ,进行 支付 资金 交易 。 整 个 
过 程 由 资金 清算 请 求 和 资金 清算 响应 两 部 分 组 成 。 

首先 ,商家 向 支付 网 关 发 出 资金 清算 请 求 ,资金 清算 请 求 消息 包含 商家 签名 并 加 密 的 请 
求 数据 (包括 支付 总 额 .交易 ID 和 之 前 收 到 的 捕获 标记 等 ) 和 商家 证 书 。 

其 次 ,支付 网 关 收 到 资金 清算 请 求 的 消息 后 ,解密 并 验证 资金 清算 数据 和 捕获 标记 ,并 
检验 它们 的 一 致 性 。 接 着 ,支付 网 关 通 过 专用 的 支付 网 络 向 发 卡 行 发 送 转账 请 求 。 发 卡 行 
处 理 转账 请 求 ,进行 资金 转账 ,把 购物 款 从 持 卡 人 的 账号 转 到 收 单 银 行商 家 账号 上 。 收 单行 
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得 到 购物 款 后 ,向 支付 网 关 发 出 资金 已 收 的 消息 ,然后 支付 网 关 将 从 收 单行 收 到 消息 进行 签 
名 和 加 密 ,形成 资金 清算 响应 ,发 送 给 商家 。 

最 后 ,商家 解密 资金 清算 响应 并 验证 ,将 其 保存 下 来 ,用 于 与 收 单行 得 到 的 付款 进行 
对 账 。 


12.3.4 SET 的 优 缺 点 


1. 优点 

SET 协议 与 其 他 电子 商务 安全 协议 相 比 主要 有 以 下 优点 。 

(1) SET 协议 对 商家 提供 了 保护 自己 的 手段 ,使 商家 免 受 欺诈 的 困扰 。 

(2) 对 消费 者 而 言 ,SET 协议 替 消 费 者 保守 了 更 多 的 秘密 ,使 其 在 线 购物 更 加 轻松 。 

(3) 银行 和 发 卡 机 构 及 各 种 信用 卡 组 织 , 如 VISA 和 MasterCard 非常 喜爱 SET 协议 ， 
因为 SET 协议 帮助 它们 将 业务 扩展 到 因特网 这 个 广阔 的 空间 中 ,从 而 使 得 信用 卡 网 上 支付 
具有 更 低 的 欺骗 概率 ,这 使 得 它 比 其 他 支付 方式 具有 更 大 的 竞争 力 。 

(4) SET 协议 对 于 参与 交易 的 各 方 定义 了 互 操作 接口 ,一 个 系统 可 以 由 不 同 厂商 的 产 
品 构筑 。 

(5) SET 协议 可 以 用 在 系统 的 一 部 分 或 全 部 。 例 如 ,一 些 商 家 正在 考虑 与 银行 连接 中 
使 用 SET 协议 ,而 与 顾客 连接 时 仍然 使 用 SSL 协议 。 

2. 缺点 

SET 协议 是 通过 因特网 进行 在 线 交 易 的 安全 协议 标准 ,是 为 了 解决 用 户 、 商 家 和 银行 
之 间 通 过 信用 卡 进行 支付 而 设计 的 ,以 保证 支付 信息 的 机 密 、 支 付 过 程 的 完整 .各 参与 方 的 
合法 身份 及 不 可 否认 等 。 虽然 SET 协议 从 诸多 方面 保证 了 网 上 支付 的 安全 问题 ,但 通过 前 
面 的 分 析 研 究 可 知 ,SET 协议 还 存在 许多 不 足 , 现 分 述 如 下 。 

(1) SET 协议 采用 DES 算法 和 RSA 算法 进行 加 密 、 解 密 , 由 于 美国 政府 对 安全 产品 的 
出 口 限制 ,出 口 的 分 组 加 密 算法 DES 的 密 钥 是 56 位 ,而 公 钥 加 密 算法 RSA 的 密 钥 也 只 有 
512 位 ,致使 SET 协议 的 安全 性 不 高 ,适应 性 不 强 。 签 名 算法 所 使 用 的 MD5 和 SHA-1 哈 
希 函 数 已 经 被 原 山 东 大 学 现 清 华 大 学 的 王小云 教授 等 所 破解 ,SET 的 安全 机 制 已 经 开始 
动 播 。 

(2) SET 协议 过 于 复杂 ,要 求 安装 的 软件 包 太 多 ,处 理 速 度 慢 , 价 格 昂 贵 。 

(3) SET 协议 没有 说 明 发 卡 银行 在 给 商家 付款 前 ,是 否 必须 收 到 消费 者 的 货物 接受 证 
书 。 否 则 ,商家 提供 的 货物 不 符合 质量 标准 ,或 者 消费 者 故意 说 质量 有 问题 而 拒 不 接收 货 
物 ,其 责任 由 谁 来 承担 。 

(4) SET 技术 规范 没有 提 及 在 事务 处 理 完成 后 ,如 何 安 全 地 保存 或 销毁 此 类 数据 ,是 否 
应 当 将 数据 保存 在 消费 者 .在线 商 店 或 收 单 银行 的 计算 机 里 。 这 种 漏洞 可 能 使 这 些 数据 以 
后 受到 潜在 的 攻击 。 

(5) SET 协议 中 对 于 持 卡 人 的 隐私 问题 考虑 不 够 ,因为 商家 仍然 知道 某 个 持 卡 人 买 了 
些 什么 物品 ,没有 给 消费 者 的 消费 带 来 匿名 性 。 

(6) 在 交易 文件 中 ,时 间 是 十 分 重要 的 信息 。 在 书面 合同 中 ,文件 签署 的 日 期 和 签名 一 
样 是 应 该 防止 伪造 和 算 改 的 关键 性 内 容 , 而 在 计算 机 上 改变 某 个 文件 的 时 间 标 记 是 轻 而 易 
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举 的 事 。 所 以 ,在 电子 交易 中 也 需要 对 文件 的 日 期 和 时 间 信 息 采取 相应 的 安全 措施 ,防止 以 
后 当事人 对 交易 的 否认 和 抵赖 。 

尽管 SET 协议 还 存在 一 些 不 足 , 但 SET 仍 是 目前 电子 商务 所 有 安全 协议 中 最 规范 、 安 
全 性 最 强 的 一 种 协议 ,是 安全 电子 支付 的 国际 标准 。 


12.4 SSL 与 SET 的 比较 


SSL 和 SET 协议 都 能 提供 安全 交易 的 机 制 并 应 用 于 电子 商务 中 ,都 通过 认证 进行 身份 
的 识别 ,都 通过 对 传输 数据 的 加 密实 现 保密 性 。 但 从 运行 方式 上 看 ,SSL 和 SET 有 明显 的 
不 同 。 其 具体 表现 在 以 下 几 个 方面 。 

(1) 从 认证 机 制 上 看 ,早期 的 SSL 并 没有 提供 商家 身份 认证 机 制 ,虽然 在 SSL3.0 中 可 
以 通过 数字 签名 和 数字 证 书 实现 浏览 器 和 服务 器 双方 的 认证 ,但 仍然 不 能 实现 多 方 认证 。 
而 SET 协议 的 安全 要 求 较 高 ,所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 ,发 卡 行 、 收 单行 和 
支付 网 关 ) 都 必须 通过 申请 数字 证 书 进行 身份 认证 。 

(2) 从 安全 性 上 看 ,SSL 只 对 持 卡 人 与 商店 端的 信息 交换 进行 加 密 保护 ,可 以 看 做 是 用 
于 传输 的 那 部 分 的 技术 规范 。 从 电子 商务 特性 来 看 , 它 并 不 具备 商务 性 、 服 务 性 、 协 调 性 和 
集成 性 。 而 SET 协议 规范 了 整个 商务 活动 的 流程 ,从 持 卡 人 到 商家 ,到 支付 网 关 , 再 到 认证 
中 心 ,以 及 信用 卡 结算 中 心 之 间 的 信息 流 走向 和 必须 采用 的 加 密 、 认 证 都 制定 了 严密 的 标 
准 , 从 而 最 大 限度 地 保证 了 商务 性 、 服 务 性 、 协 调 性 和 集成 性 。 因 此 SET 的 安全 性 比 
SSL 高 。 

(3) 从 网 络 协议 位 置 上 看 ,SSL 位 于 传输 层 与 应 用 层 之 间 ,因此 SSL 能 很 好 地 封装 应 用 
层 数据 ,不 用 改变 位 于 应 用 层 的 应 用 程序 ,对 用 户 是 透明 的 。 同 时 ,SSL 通过 交易 前 的 “ 握 
手 ” 过 程 来 建立 客户 机 与 服务 器 之 间 一 条 安全 通信 的 信道 ,保证 数据 传输 的 安全 。 整 个 过 程 
相对 简单 ,因此 SSL 协议 主要 是 和 Web 应 用 一 起 工作 。 而 SET 协议 位 于 应 用 层 , 是 为 信用 
卡 交 易 提 供 安 全 保障 ,其 认证 体系 十 分 完善 ,能 实现 多 方 认证 。 在 SET 的 实现 中 ,消费 者 账 
户 信息 对 商家 来 说 是 保密 的 ,安全 性 较 好 。 但 是 SET 协议 十 分 复杂 ,存在 身份 验证 复杂 、 加 
密 环节 多 、 处 理 效率 低 等 缺点 ,还 有 待 改进 。 


习 题 12 
一 、 选 择 题 
1. SSL 协议 的 Server_Hello 使 用 随机 数 的 目的 是 ( 了} 
A. 作为 加 密 密 钥 B. 用 于 密 钥 交换 中 的 抗 重 放 攻 击 
C. 作为 客户 机 的 ID D. 可 以 省 略 , 没 用 
2. SET 协议 中 的 数字 信封 对 要 传送 的 消息 密 钥 是 通过 ( ) 产 生 的 。 
A. 接收 方 的 公 钥 B. 接收 方 随机 产生 


C. 发 送 方 随机 产生 D. 事先 通过 协商 
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3. 


4. 


5. 


SSL 协议 使 用 的 加 密 算法 是 ( Ne 

A. 仅 使 用 对 称 加 密 算法 

B. 仅 使 用 公 角 加密 算法 

C. 同时 使 用 DES 加 密 算 法 和 散 列 密码 

D. 同时 使 用 对 称 加 密 算法 和 公 钥 加 密 算 法 

认证 中 心 的 核心 职责 是 ( i 

A. 签发 和 管理 数字 证 书 B. 验证 信息 

C. 公布 黑 名单 D. 撤销 用 户 的 证 书 
下 面 有 关 SSL 的 描述 ,不 正确 的 是 ( ys 

A. 目前 大 部 分 Web 浏览 器 都 内 置 了 SSL 协议 

B. SSL 协议 分 为 SSL 握手 协议 和 SSL 记录 协议 两 部 分 
C. SSL 协议 中 的 数据 压缩 功能 是 可 选 的 

D. SET 协议 在 功能 和 结构 上 与 SSL 完全 相同 


二 、 填空 题 


本 
2. 


SSL 是 一 种 综合 利用 和 技术 进行 安全 通信 的 工业 标准 。 
SET 协议 的 参与 方 主要 由 持 卡 人 、 商 家 、 5 \ 发 卡 行 和 收 单行 六 部 


分 组 成 。 


3. 
4. 


SSL 协议 由 SSL 记录 协议 、 和 报警 协议 组 成 。 
SET 协议 主要 通过 使 用 和 的 方式 解决 电子 商务 交易 过 程 中 的 安 


全 性 问题 。 
三 、 简 答题 


[i 虽 上 上 oo 


规范 ? 


. 电子 商务 有 哪些 优点 ? 

. 电子 商务 的 安全 需求 有 哪些 ? 

.SSL 记录 协议 的 工作 步骤 有 哪些? 

.以 图 形 化 的 方式 画 出 SSL 协议 的 握手 过 程 。 
.SET 提供 了 哪些 安全 服务 ? 

. 列举 SET 协议 中 的 各 个 参与 方 。 

. 数字 信封 的 作用 是 什么 ? 

.双重 签名 的 定义 和 目的 是 什么 ? 

9. 


在 SSL 中 为 什么 有 单独 的 修改 密码 规范 协议 ,而 不 是 在 握手 协议 中 包含 修改 密码 


10. 分 析 SSL 协议 ,并 说 明 SSL 如 何 抵 抗 下 列 Web 安全 性 威胁 。 

(1) 穷 举 密码 分 析 攻 击 : 穷 举 传统 加 密 算法 的 密 钥 空间 。 

(2) 重 放 攻 击 : 重 放 先前 的 SSL 握手 消息 。 

(3) 中 间 人 攻击 : 在 密 钥 交换 时 ,攻击 者 针对 服务 器 假扮 成 客户 机 ,针对 客户 机 又 假扮 
成 服务 器 。 
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网 络 安 全 检测 与 评估 是 保证 计算 机 网 络 信息 系统 安全 运行 的 重要 手段 ,对 于 准确 掌握 
计算 机 网 络 信息 系统 的 安全 状况 具有 重要 意义 。 由 于 计算 机 网 络 信息 系统 的 安全 状况 是 动 
态 变化 的 ,因此 网 络 安全 检测 与 评估 也 是 一 个 动态 过 程 。 在 计算 机 信息 系统 的 整个 生命 周 
期 内 , 随 着 系统 结构 的 变化 ,新 的 漏洞 的 发 现 ,以 及 管理 员 / 用 户 的 操作 ,主机 的 安全 状况 是 
不 断 在 变化 着 的 ,随时 都 可 能 需要 对 系统 的 安全 性 进行 检测 与 评估 ,只 有 让 安全 意识 和 安全 
制度 贯穿 整个 过 程 才 有 可 能 做 到 尽 可 能 相对 的 安全 ,一 劳 永 逸 的 网 络 安全 检测 与 评估 技术 
是 不 存在 的 ,也 是 不 切实 际 的 。 


13.1 网 络 安 全 评估 标准 


13.1.1 网 络 安全 评估 标准 的 发 展 历程 


标准 是 评估 的 灵魂 ,作为 一 种 依据 和 尺度 ,没有 标准 就 没有 准确 可 靠 的 评估 。 在 信息 安 
全 这 一 特殊 的 高 技术 领域 ,没有 标准 ,国家 有 关 的 立法 执法 就 会 因 缺 乏 相应 的 技术 尺度 而 失 
之 偏颇 ,最 终 会 给 国家 信息 安全 领域 的 管理 带 来 严重 后 果 。 一 般 来 说 ,完整 的 评估 标准 应 涵 
盖 方 法 .手段 和 途径 。 

国际 上 信息 安全 测评 标准 的 发 展 经 历 了 以 下 几 个 阶段 。 

1. 首创 而 孤立 的 阶段 

根据 国防 信息 系统 的 保密 需要 ,美国 国防 部 首次 于 1983 年 开发 了 《可 信 计 算 机 系统 安 
全 评估 准则 》, 简 称 为 TCSEC (Trusted Computer System Evaluation Criteria) 。1985 年 
TCSEC 经 修改 后 正式 发 布 ,由 于 采用 了 橘 色 书 皮 , 人 们 通常 称 其 为 橘 皮 书 。 后 来 在 美国 国 
防 部 国家 计算 机 安全 中 心 C(NCSC) 的 主持 下 制定 出 了 一 系列 相关 准则 ,每 本 书 使 用 不 同 颜 
色 的 书 皮 , 称 为 彩虹 系列 。 

这 些 准 则 从 用 户 登 录 、 授 权 管 理 、 访 问 控制 .审计 总 计 、 隐 通道 建立 ` 安 全 检测 、 生 命 
周期 保障 、 文 本 写作 和 用 户 指南 等 方面 均 提 出 了 规范 性 要 求 。 而 且 准 则 根据 所 采用 的 安 
全 策略 和 系统 所 具备 的 安全 功能 将 系统 分 为 四 类 7 个 安全 级 别 。 这 7 个 安全 级 别 如 
表 13. 1 所 示 。 


表 13.1 TCSEC 的 安全 级 别 
类 别 | 级 别 名 称 主要 特征 





形式 化 的 最 高 级 描述 和 验证 ,形式 化 的 隐蔽 通道 分 析 , 非 形式 化 
的 代码 一 致 性 证 明 


A | A 验证 设计 级 
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续 表 


类 别 | 级 别 名 称 主要 特征 

B3 “| 安全 域 级 安全 内 核 ,访问 控制 具有 最 高 抗 渗透 能 力 

面向 安全 的 体系 结构 ,遵循 最 小 授权 原则 ,有 和 较 好 的 抗 渗透 能 
B | B2 | 结构 化 安全 保护 级 ”| 力 , 对 所 有 的 主体 和 客体 提供 访问 控制 保护 ,对 系统 进行 隐 项 通道 


























分 析 
Bl | 标记 安全 保护 级 在 C2 安全 级 的 基础 上 增加 安全 策略 模型 ,对 数据 进行 标记 
C2 | 访问 控制 环境 保护 级 | ”以 用 户 为 单位 进行 广泛 的 审计 
c C1 | 选择 性 安全 保护 级 tt 
D | D | 最低 安全 保护 级 保护 措施 很 少 ,相当 于 没有 安全 功能 的 个 人 计算 机 


TCSEC 第 一 次 采用 了 公正 的 第 三 方 ,利用 技术 分 析 和 测试 手段 ,获取 证 据 来 证 明 开 发 
者 正确 有 效 地 实现 了 标准 要 求 的 安全 功能 。 它 运用 的 主要 安全 策略 是 访问 控制 机 制 , 考 虑 
的 安全 问题 大 体 上 局 限于 信息 的 保密 性 ,所 依据 的 安全 模型 则 是 Bell& Lapadula 模型 ,该 模 
型 所 制定 的 最 重要 的 安全 准则 严禁 上 读 下 写 所 针对 的 就 是 信息 的 保密 要 求 。 

TCSEC 最 主要 的 不 足 是 其 只 针对 操作 系统 的 评估 ,而 且 只 考虑 了 保密 性 需求 ,但 它 极 大 
地 推动 了 国际 计算 机 安全 的 评估 研究 ,使 安全 信息 系统 评估 准则 的 研究 进入 了 第 二 个 阶段 。 

2. 普及 而 分 散 的 阶段 

欧洲 各 国 不 甘 落后 于 美国 , 曾 纷 纷 效 仿 TCSEC, 先 后 制定 了 各 国 自己 的 评估 标准 。 但 
欧 共 体 认 为 评估 标准 的 多 样 性 有 违 欧 共 体 的 一 体 化 进程 ,也 不 利于 各 国 在 评估 结果 之 间 的 
互 认 ,因此 标准 不 统一 是 极为 不 妥 的 现象 。 德 国信 息 安 全 局 在 1990 年 发 出 号 召 ,与 英法 、 
荷 一 起 迈 开 了 联合 制定 评估 标准 的 步伐 。 终 于 推出 了 《信息 技术 安全 评估 标准 ,简称 
ITSEC。 除 了 吸取 TCSEC 的 成 功 经 验 之 外 ,ITSEC 首次 提出 了 信息 安全 的 保密 性 、 完 整 
性 ,可 用 性 的 概念 ,把 可 信 计 算 机 的 概念 提高 到 可 信 信 息 技 术 的 高 度 上 来 认识 。 他 们 的 工作 
成 为 欧 共 体 信息 安全 计划 的 基础 ,并 对 国际 信息 安全 的 研究 实施 带 来 了 深刻 的 影响 。 

ITSEC 也 定义 了 7 个 安全 级 别 , 即 E6( 形 式 化 验证 )、E5( 形 式 化 分 析 )、E4( 半 形式 化 分 
析 )、E3( 数 字 化 测试 分 析 )、E2( 数 字 化 测试 ) .E1( 功 能 测试 )、E0( 不 能 充分 满足 保证 )。 

加 拿 大 也 在 同期 制定 了 《加 拿 大 计算 机 产品 评估 准则 ;第 一 版 , 称 为 CTCPEC。 其 第 三 
版 于 1993 年 公布 ,吸取 了 ITSEC 和 TCSEC 的 优点 ,并 将 安全 清晰 地 分 为 功能 性 要 求 和 保 
证 性 要 求 两 部 分 。 

上 述 这 两 个 安全 性 测评 准则 不 仅 包 含 了 对 计算 机 操作 系统 的 评估 ,还 包含 了 现代 信息 
网 络 系统 所 包含 的 通信 网 络 和 数据 库 方面 的 安全 性 评估 准则 。 

美国 政府 在 此 期 间 并 没有 停止 对 评估 准则 的 研究 ,于 1993 年 公开 发 布 了 《联邦 准则 》 的 
1.0 版 草案 ,简称 FC。 在 FC 中 首次 引入 了 保护 轮廓 (Protection Profile, PP) 的 重要 概念 ， 
每 一 保护 轮廓 都 包括 功能 部 分 、 开 发 保证 部 分 和 测评 部 分 。 其 分 级 方式 与 TCSEC 不 同 ,而 
是 充分 吸取 了 ITSEC 和 CTCPEC 的 优点 , 供 民用 及 政府 商业 使 用 。 

总 体 来 说 ,这 一 阶段 的 安全 性 评估 准则 不 仅 全 面包 含 了 现代 信息 网 络 系统 的 整体 安全 
性 ,而 且 内 容 也 有 了 很 大 的 扩展 ,不 再 局 限于 安全 功能 要 求 ,增加 了 开发 保证 要 求 和 评估 (分 
析 、 测 试 ) 要 求 。 但 这 些 标准 分 散 于 各 国 ,度量 标准 也 不 尽 相 同 ,这 客观 上 阻碍 了 信息 安全 保 
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障 的 国际 合作 和 交流 。 统 一 的 安全 评估 准则 呼之欲出 。 

3. 集中 统一 阶段 

为 了 能 集中 世界 各 国安 全 评估 准则 的 优点 ,集合 成 单一 的 、 能 被 广泛 接受 的 信息 技术 评 
估 准 则 ,国际 标准 化 组 织 在 1990 年 就 开始 着 手 编写 国际 性 评估 准则 ,但 由 于 任务 庞大 及 协 
调 困 难 , 该 工作 一 度 进展 缓慢 。 直 到 1993 年 6 月 ,在 6 国 7 方 ( 英 \ 加 \ 法 、 德 . 荷 .美国 国家 
安全 局 及 国家 标准 技术 研究 所 ) 的 合作 下 ,前 述 的 几 个 评估 标准 终于 走 到 了 一 起 ,形成 了 《 信 
息 技术 安全 通用 评估 准则 》, 简 称 CC。CC 的 0. 9 版 于 1994 年 问世 ,1.0 版 于 1996 年 出 版 
1997 年 ,有 关 方 面 提交 了 CC 的 2. 0 版 草案 版 ,1998 年 正式 发 行 ,1999 年 发 行 了 现在 的 
CC2.1 版 ,后 者 于 1999 年 12 月 被 ISO 批准 为 国际 标准 编号 ISO/IEC15408。 至 此 ,国际 上 
统一 度量 安全 性 的 评估 准则 宣告 形成 。CC 吸收 了 各 先进 国家 对 现代 信息 系统 安全 的 经 验 
和 知识 ,对 信息 安全 的 研究 与 应 用 带 来 了 深刻 的 影响 。 

CC 的 评估 等 级 共 分 为 7 级 , 即 EAL1 一 EAL7, 分 别 为 功能 测试 ,结构 测试 ,系统 测试 和 
检验 ,系统 设计 ` 测 试 和 评审 , 半 形 式 化 设计 和 测试 , 半 形 式 化 验证 的 设计 和 测试 ,以 及 形式 
化 验证 的 设计 和 测试 。 

图 13. 1 所 示 为 安全 信息 系统 评估 准则 的 发 展 史 ,包括 各 准则 的 衍生 关系 。 表 13. 2 对 
上 述 各 标准 的 等 级 对 照 关系 做 了 说 明 。 为 了 便于 参照 ,同时 对 比 了 我 国 于 1999 年 发 布 ， 
2001 年 开始 执行 的 国家 标准 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 简 称 GB17859。 




























































































1991 年 欧洲 信息 
4 准 
则 (ITSEC) 
- 年 国际 通用 
1985 年 美国 可 信 1990 年 加 拿 大 可 信 
计算 机 系统 评估 计算 机 产品 评估 准 (CO) 
准则 (TCSEC) 则 (CTCPEC) 
1 1999 年 国际 标准 
1901 年 美国 联 大 ee 
准则 (FC) 
13.1 测评 标准 的 发 展 
表 13.2 各 标准 的 等 级 划分 对 照 表 
Ge TCSEC FC ITSEC CTCPEC GB 17859 一 1999 
oo D E0 To 0 
EAL1 罗 罗 T1 1: 用 户 自主 保护 
EAL2 Cl El T2 2: 系统 审计 保护 
EAL3 C2 Ti E2 TT 3: 安全 标记 保护 
EAL4 Bl 1 E3 T4 4: 结构 变化 保护 
a Ta ee 
a. T4 oe 
EAL5 B2 T5 E4 T5 5: 访问 验证 保护 
EAL6 B3 T6 E5 T6 加 
EAL7 A TY E6 7 
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需要 指出 的 是 ,对 于 这 样 一 个 对 照 关系 ,只 能 认为 是 大 致 和 模糊 的 ,有 很 多 专家 对 此 有 
不 同 的 意见 。 主 要 原因 在 于 TCSEC 只 关注 保密 性 ,因此 与 其 他 标准 对 安全 性 的 要 求 大 不 
相同 ,不 可 在 一 起 对 比 。 但 该 表 确实 可 以 使 人 们 对 各 标准 的 等 级 对 照 形 成 基本 的 认识 ,可 以 
作为 重要 的 参考 。 


13.1.2 TCSEC ITSEC 和 CC 的 基本 构成 


1. TCSEC 

TCSEC 可 以 从 安全 策略 模型 .可 追究 性 (Accountability)、 保 证 (Assurance) 和 文档 
(Documentation)4 个 方面 进行 描述 。 

(1) 安全 策略 模型 : B1 级 与 Bl 级 以 下 的 安全 测评 级 别 ,其 安全 策略 模型 是 非 形 式 化 定 
义 的 。 从 B2 级 开始 ,其 安全 策略 模型 是 更 加 严格 的 形式 化 定义 ,甚至 引用 形式 化 验证 方 
法 。 最 早 的 形式 化 安全 模型 是 Bell-Lapadula 状态 转移 模型 。 安 全 策略 制定 的 基础 是 所 谓 
的 可 信 计 算 基 (Trusted Computing Base,TCB) 结 构 。TCSEC 在 测评 标准 上 给 出 了 11 个 
安全 策略 内 容 , 其 中 以 自主 访问 控制 (DAC) (在 C 级 及 以 上 级 别 采 用 的 )、 客 体重 用、 标识 
(有 8 个 ) 和 强制 访问 控制 (MAC)(B 级 及 以 上 级 别 采 用 ) 作 为 主要 特征 。 

(2) 可 追究 性 : 在 TCSEC 测评 标准 上 给 出 了 3 个 可 追究 性 特性 ,分 别 是 识别 与 授权 、 
审计 和 可 信 通 路 。 

(3) 保证 : 在 TCSEC 测评 标准 上 给 出 了 9 个 安全 保证 特性 ,主要 解决 安全 测试 验证 分 
析 等 特性 。 

(4) 文档 : 在 TCSEC 测评 标准 上 还 给 出 了 对 文档 的 要 求 。 

应 当 说 明 的 是 ,C2 级 对 于 一 般 意义 上 的 攻击 具有 一 定 的 抵抗 能 力 ,Bl 级 对 于 一 般 意 义 
上 的 攻击 具有 较 高 的 抵抗 能 力 , 而 对 于 抵抗 高 威胁 的 渗透 入 侵 能 力 还 是 较 低 的 ,B2 级 有 一 
定 的 抵抗 高 威胁 的 渗透 入 侵 能 力 ,B3 级 有 较 高 的 抵抗 高 威胁 的 渗透 入侵 能 力 。 

TCSEC 是 第 一 代 的 安全 评估 标准 ,有 其 不 足 , 但 这 并 不 是 意味 着 人 们 不 去 继承 它 。 目 
前 ,不 止 我 国 ,即使 在 世界 上 也 都 存在 着 对 TCSEC 与 CC 优 劣 的 争论 ,有 很 多 还 未 达成 一 致 
性 意见 。 以 下 是 当前 已 经 得 到 公认 的 对 TCSEC 局 限 性 的 认识 。 

(1) TCSEC 是 针对 建立 无 漏洞 和 非 侵入 系统 制定 的 分 级 标准 。TCSEC 的 安全 模型 不 
是 基于 时 间 的 ,而 是 基于 功能 .角色 和 规则 等 空间 与 功能 概念 意义 上 的 安全 模型 。 安 全 概念 
仅仅 是 为 了 防护 ,对 防护 的 安全 功能 如 何 检查 ,以 及 检查 出 的 安全 漏洞 又 如 何 弥补 和 反应 等 
问题 没有 讨论 和 研究 。 

(2) TCSEC 是 针对 单一 计算 机 ,特别 是 对 小 型 计算 机 和 主机 结构 的 大 型 计算 机 制定 的 
测评 标准 。TCSEC 的 网 络 解释 目前 缺少 成 功 的 实践 支持 ,尤其 对 于 互联 网 络 和 商用 网 络 很 
少 有 成 功 的 实例 支持 。 

(3) TCSEC 主要 用 于 军事 和 政府 信息 系统 ,对 于 个 人 和 商用 系统 采用 这 个 方案 是 有 困 
难 的 。 也 就 是 说 其 安全 性 主要 是 针对 保密 性 而 制定 的 ,而 对 完整 性 和 可 用 性 研究 不 够 ,忽略 
了 不 同行 业 的 计算 机 应 用 的 安全 性 差别 。 

(4) 安全 的 本 质 之 一 是 管理 ,而 TCSEC 缺少 对 管理 的 讨论 。 

(5) TCSEC 的 安全 策略 也 是 固定 的 ,缺少 安全 威胁 的 针对 性 ,其 安全 策略 不 能 针对 不 
同 的 安全 威胁 实施 相应 的 组 合 。 
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(6) TCSEC 的 安全 概念 脱离 了 对 IT 和 非 IT 环境 的 讨论 ,如 果 不 能 把 安全 功能 与 安全 
环境 相 结 合 , 那 么 安全 建设 就 是 抽象 和 非 实 际 的 。 

(7) 美国 NSA 测评 一 个 安全 操作 系统 需要 花费 1 一 2 年 的 时 间 , 这 个 时 间 已 经 超过 目 
前 一 代 信息 技术 发 展 的 时 间 , 也 就 是 说 TCSEC 测评 的 可 操作 性 较 差 ,缺少 测评 方法 框架 和 
具体 标准 的 支持 。 

2. ITSEC 

以 ITSEC 为 代表 的 20 世纪 90 年 代 出 的 一 批评 估 标 准 对 后 来 的 CC 产生 了 重要 影响 。 
ITSEC 于 1991 年 得 到 批准 发 布 ,在 此 之 后 ,进一步 的 细则 仍 在 不 断 制定 。 在 相当 长 的 一 段 
时 间 内 , 它 是 欧洲 信息 安全 评估 的 主要 依据 。 

ITSEC 的 安全 功能 分 为 标识 与 鉴别 .访问 控制 .可 追究 性 、 审 计 、 客 体重 用 、 精 确 性 、 服 
务 可 靠 性 和 数据 交换 。 其 保证 准则 为 有 效 性 (Effectiveness) 和 正确 性 (Correctness)。 有 效 
性 准则 从 结构 (Construction) 和 操作 (Operation) 两 方面 体现 。 结 构 准 则 要 求 中 ,包括 功能 
的 适用 性 、 功 能 捆绑 、 机 制 强度 和 结构 脆弱 性 评估 。 操 作 准 则 可 划分 为 两 个 方面 : 易 用 性 和 
操作 脆弱 性 评估 。 

欧盟 曾 在 1997 年 发 布 了 ITSEC 评估 互 认 协定 ,并 在 1999 年 4 月 协定 修改 后 发 布 了 新 
的 互 认 协定 第 2 版 。 目 前 ,签署 双方 承担 义务 并 相互 承认 的 是 英国 ,法国 和 德国 ,接受 这 3 
个 国家 的 评估 结果 的 有 芬兰 .希腊 荷兰、 挪威 西班牙、 瑞士 及 瑞典 。 

ITSEC 的 生命 力 很 强 ,其 系列 文档 一 直 在 以 UKSPXX(United Kindom ITSEC Scheme 
Publication) 为 编号 不 断 制 定 。 甚 至 其 1996 年 发 布 的 基础 性 文件 UKSP01《 框 架 描述 ) 在 
2000 年 2 月 又 重新 进行 了 第 4 版 的 修订 ,最 大 的 改动 是 增加 了 对 CC 最 新 动态 的 反应 。 

GC 

CC 最 早 引 入 中 国 时 ,由 于 当时 与 国外 相 比 起 步 较 晚 ,对 CC 早期 版 本 的 消化 经 历 了 较 
长 的 过 程 。 如 今 , 作 为 ISO/IEC 15408 的 CC 已 经 被 引 为 国家 标准 GB/T 18336 ,并 已 经 成 
为 国家 信息 安全 测评 认证 中 心 的 测评 依据 。 

CC 是 目前 国际 上 最 全 面 的 信息 技术 安全 性 评估 准则 。 它 主要 有 以 下 两 个 核心 思想 。 

(1) CC 的 核心 思想 之 一 是 信息 安全 提供 的 安全 功能 本 身 和 对 信息 安全 技术 的 保证 承 
诺 之 间 独 立 。 这 一 思想 在 CC 标准 中 主要 反映 在 以 下 两 方面 。 

Q@ 信息 系统 的 安全 功能 和 安全 保证 措施 互相 独立 ,并 且 通 过 独立 的 安全 功能 需求 和 安 
全 保证 需求 来 定义 一 个 产品 或 系统 的 完整 信息 安全 需求 。 

@ 信息 系统 的 安全 功能 及 说 明 与 对 信息 系统 安全 性 的 评价 完全 独立 。 

(2) CC 的 另 一 个 核心 思想 是 安全 工程 的 思想 , 即 通过 对 信息 安全 产品 的 开发 .评价 、 使 
用 全 过 程 的 各 个 环节 实施 安全 工程 来 确保 产品 的 安全 性 。 

CC 分 为 三 部 分 ,相互 依存 , 缺 一 不 可 。 第 一 部 分 介绍 CC 的 基本 概念 和 基本 原理 ,定义 
IT 安全 评估 的 一 般 概念 与 原则 ,并 提出 一 个 评估 的 一 般 模型 ,描述 CC 的 每 一 部 分 对 每 一 
目标 读者 的 用 途 , 附 录 中 还 详细 介绍 了 保护 轮廓 (PP) 安全 目标 (ST) 的 结构 和 内 容 ; 第 二 
部 分 提出 了 安全 功能 要 求 , 包 含 良 好 定义 的 且 较 易 理 解 的 安全 功能 要 求 目 录 , 它 将 作为 一 个 
表示 IT 产品 和 系统 安全 要 求 的 标准 方式 ; 第 三 部 分 提出 了 非 技 术 的 安全 保证 要 求 ,包含 建 
立 保证 组 件 所 用 到 的 一 个 目录 , 它 可 被 作为 表示 IT 产品 和 系统 保证 要 求 的 标准 方式 。CC 
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将 安全 要 求 分 为 安全 功能 要 求 , 以 及 用 来 解决 如 何 正确 有 效 地 实施 这 些 功 能 的 保证 要 求 ,这 
是 从 ITSEC 和 CTCPEC 中 吸取 的 优点 ,同时 CC 还 从 FC 中 吸取 了 保护 轮廓 的 概念 。 

CC 的 功能 要 求 和 保证 要 求 均 以 类 - 族 -组 件 (Class-Family-Component) 的 结构 来 表述 。 
功能 要 求 包括 12 个 功能 类 (安全 审计 、 通 信 、 密 码 支持 \ 用 户 数据 保护 .标识 和 鉴别 .安全 管 
理 、 隐 秘 、TSF 保护 .资源 利用 .TOE 访问 、 可 信 路 径 、 信 道 ) ,保证 要 求 包 括 7 个 保证 类 (配置 
管理 ,交付 和 运行 .开发 .指导 性 文件 ,生命 周期 支持 测试、 脆弱 性 评定 )。 

CC 将 通过 对 安全 保证 功能 的 评估 划分 安全 等 级 ,每 一 等 级 对 保证 功能 的 强度 要 求 会 
增加 。CC 的 结构 关系 如 图 13. 2 所 示 。 

































































































































































































































































































六 朋 要 来 [于 妆 |= 保护 轮 廊 (PP) 
二 基于 一 类 TOE 的 应 用 环境 规定 
关 林 C2 为 构建 PP 或 ST 而 一 组 安全 要 求 ， 并 提出 应 达到 
选取 的 一 组 功能 哪 一 种 评估 保证 级 要 求 
| 要 求 
2 
G3 Cn 
功能 类 本 
基于 某 和 呈现 
保证 要 求 评估 保证 级 靶 于 某 的 实现 ， 
保证 要 求 了 类 | 评估 保证 级 1 i 
评 仕 保证 疯 ,以 及 吾 到 的 评估 保 
~ 评 仕 保证 : 提出 的 要 bi 
ni 的 划 友 卫生 如 ce 示 下 
C2 他 非 CC 要 求 
| C3 
5 评估 保证 级 n 
保证 类 Cn 
选择 性 扩充 ( 非 CC) 安 全 要 求 











图 13.2 CC 的 结构 关系 


评估 保证 级 是 评估 保证 要 求 的 一 种 特定 组 合 一 一 保证 包 , 是 度量 保证 措施 的 一 个 尺度 ， 
这 种 尺度 的 确定 权衡 了 所 获得 的 保证 级 ,以 及 达到 该 保证 级 所 需 的 代价 和 可 能 性 。 

在 CC 中 定义 了 7 个 递增 的 评估 保证 级 ,这 种 递增 依靠 替换 成 同一 保证 子 类 中 的 一 个 
更 高 级 别 的 保证 组 件 ( 即 增加 严格 性 、 范 围 或 深度 ) 和 添加 另外 一 个 保证 子 类 的 保证 组 件 ( 如 
添加 新 的 要 求 ) 来 实现 。 

以 下 是 7 个 评估 保证 级 别 的 介绍 。 

(1) EAL1 一 一 功能 测试 。EAL1 适用 于 对 正确 运行 需要 一 定 信任 的 场合 ,但 在 该 场合 
中 对 安全 的 威胁 应 视 为 并 不 严重 ; 还 适用 于 需要 独立 的 保证 来 支持 “认为 在 人 员 或 信息 的 
保护 方面 已 经 给 予 足够 的 重视 "这 一 情形 。 

该 级 依据 一 个 规范 的 独立 性 测试 和 对 所 提供 指导 性 文档 的 检查 来 为 用 户 评估 TOE 
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(Target of Evaluation) 。 在 该 级 别 上 ,没有 TOE 开发 者 的 帮助 也 能 成 功 地 进行 评估 ,并且 
所 需 费 用 也 最 少 。 通 过 该 级 别 的 一 个 评估 ,可 以 确信 TOE 的 功能 与 其 文档 在 形式 上 是 一 
致 的 ,并 且 对 已 标识 的 威胁 提供 了 有 效 的 保护 。 

(2) EAL2 一 一 结构 测试 。EAL2 要 求 开发 者 递交 设计 信息 和 测试 结果 ,但 不 需要 开发 
者 增加 过 多 的 费用 或 事件 的 投入 。 

EAL2 适用 于 在 缺乏 现成 可 用 的 完整 的 开发 记录 时 ,开发 者 或 用 户 需要 一 种 低 到 中 等 
级 别 的 独立 保证 的 安全 性 。 例 如 ,对 传统 的 保密 系统 进行 评估 或 不 便于 对 开发 者 进行 现场 
核查 时 。 

(3) EAL3 一 一 系统 测试 和 检查 。 在 不 需要 对 现 有 的 合理 开发 规则 进行 实质 改进 的 情 
况 下 ,EAL3 可 使 开发 者 在 设计 阶段 能 从 正确 的 安全 工程 中 获得 最 大 限度 的 保证 。 

EAL3 适用 于 开发 者 或 用 户 需 要 一 个 中 等 级 别 的 独立 保证 的 安全 性 ,并 在 不 带 来 大 量 
的 再 构建 费用 的 前 提 下 ,对 TOE 及 其 开发 过 程 进行 彻底 审查 。 

开展 该 级 的 评估 ,需要 分 析 基 于 * 灰 盒子 ”的 测试 结果 、 开 发 者 测试 结果 的 选择 性 独立 确 
认 , 以 及 开发 者 搜索 已 知 脆弱 性 的 证 据 等 。 还 要 求 使 用 开发 环境 控制 措施 .TOE 的 配置 管 
理 和 安全 交付 程序 。 

(4) EAL4 一 一 系统 设计 、 测 试 和 评审 。 基 于 良好 而 严格 的 商业 开发 规则 ,在 无 须 额 外 
增加 大 量 专业 知识 .技巧 和 其 他 资源 的 情况 下 ,开发 者 从 正确 的 安全 工程 中 所 获得 的 保证 级 
别 最 高 可 达到 EAL4。 在 现 有 条 件 下 ,只 对 一 个 已 经 存在 的 生产 线 进行 改进 时 ,EAL4 是 所 
能 达到 的 最 高 级 别 。 

EAL4 适用 于 开发 者 或 用 户 对 传统 的 商品 化 的 TOE 需要 一 个 中 等 到 高 等 级 别 的 独立 
保证 的 安全 性 ,并 准备 负担 额外 的 安全 专用 工程 费用 。 

开展 该 级 别 的 评估 ,需要 分 析 TOE 模块 的 底层 设计 和 实现 的 子 集 。 在 测试 方面 将 侧 
重 于 对 已 知 的 脆弱 性 进行 独立 搜索 。 在 开发 控制 方面 涉及 生命 周期 模型 \ 开 发 工具 标识 和 
自动 化 配置 管理 等 方面 。 

(5) EAL5 一 一 半 形 式 化 设计 和 测试 。 适 当 应 用 一 些 专业 性 的 安全 工程 技术 ,并 基于 严 
格 的 商业 开发 实践 ,EAL5 可 使 开发 者 从 安全 工程 中 获得 最 大 限度 的 保证 。 如 果 某 个 TOE 要 
想 达到 EAL5 的 要 求 , 开 发 者 需要 在 设计 和 开发 方面 下 一 定 的 功夫 ,但 如 果 具 备 一 些 相关 的 专 
业 技术 ,也许 额外 的 开销 不 会 很 大 。 

EAL5 适用 于 开发 者 和 使 用 者 在 有 计划 的 开发 中 ,采用 严格 的 开发 手段 ,以 获得 一 个 高 
级 别 的 独立 保证 的 安全 性 需要 ,但 不 会 因 采 取 专 业 性 安全 工程 技术 而 增加 一 些 不 合理 的 
开销 。 

开展 该 级 别 的 评估 ,需要 分 析 所 有 的 实现 。 还 需要 额外 分 析 功 能 规范 和 高 层 设 计 的 形 
式 化 模型 和 半 形 式 化 标识 ,以 及 它们 之 间 对 应 性 的 半 形 式 化 论证 。 在 对 已 知 脆弱 性 的 搜索 
方面 ,必须 确保 TOE 可 抵御 中 等 攻击 潜力 的 穿 透 性 攻击 者 。 还 要 求 采取 隐蔽 信道 分 析 和 
模块 化 的 TOE 设计 。 

(6) EAL6 一 一 半 形 式 化 验证 的 设计 和 测试 。EAL6 可 使 开发 者 通过 把 专业 性 安全 工 
程 技术 应 用 到 严格 的 开发 环境 中 ,而 获得 高 级 别 的 保证 ,以 便 生产 一 个 昂贵 的 TOECTCP 
务 载 引擎 ) 来 保护 高 价值 的 资产 以 对 抗 重 大 的 风险 。 

因此 EAL6 适用 于 将 用 在 高 风险 环境 下 的 特定 安全 产品 或 系统 的 开发 , 且 要 保护 的 资 
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源 值得 花费 一 些 额 外 的 人 力 、 物 力 和 财力 。 

开展 该 级 别 的 评估 ,需要 分 析 设 计 的 模块 和 层次 化 方法 ,以 及 实现 的 机 构 化 标识 。 在 对 
已 知 脆弱 性 的 独立 搜索 方面 ,必须 确保 TOE 可 抵御 高 等 级 攻击 潜力 的 穿 透 性 攻击 者 。 对 
隐蔽 信道 的 搜索 也 必须 是 系统 的 , 且 开发 环境 和 配置 管理 的 控制 也 应 进一步 增强 。 

(7) EAL7 一 一 形式 化 验证 的 设计 和 测试 。EAL7 适用 于 安全 性 要 求 很 高 的 TOE 开 
发 ,这 些 TOE 将 应 用 在 风险 非常 高 的 地 方 或 所 保护 资产 价值 很 高 的 地 方 。 目 前 ,该 级 别 的 
TOE 比较 少 ,一 方面 是 对 安全 功能 全 面 的 形式 化 分 析 难 以 实现 , 另 一 方面 在 实际 应 用 中 也 
很 少 有 这 类 需求 。 

开展 该 级 别 的 评估 ,需要 分 析 TOE 的 形式 化 模型 ,包括 功能 规范 和 高 层 设计 的 形式 化 
表示 。 要 求 开 发 者 提供 基于 * 白 盒子 ”测试 的 证 据 , 在 评估 时 必须 对 这 些 测试 结果 全 部 进行 
独立 确认 ,并 且 设 计 的 复杂 程度 必须 是 最 小 的 。 

CC 的 先进 性 体现 在 以 下 几 个 方面 。 

(1) 适用 于 各 类 IT 产品 的 评估 ,并且 全 面 考虑 了 信息 安全 中 的 保密 性 、 完 整 性 .可 用 人 性 
及 不 可 否认 性 概念 ,突出 了 安全 保证 的 重要 性 ,与 信息 保障 概念 的 发 展 一 致 。 

(2) 开放 性 。 安 全 功能 要 求 和 安全 保证 要 求 都 可 以 在 具体 的 “保护 轮廓 "和 “安全 目标 ” 
中 进一步 细 化 和 扩展 。 例 如 ,在 基于 CC 制定 防火 墙 的 评估 标准 时 ,就 可 以 加 入 对 VPN 功 
能 的 要 求 。 这 便 增 加 了 CC 的 实用 性 ,同时 也 保证 了 CC 能 够 与 时 俱 进 。 

(3) 语言 的 通用 性 。 所 有 的 目标 读者 都 可 以 理解 和 接受 CC 的 语言 ,使 得 互 认 成 为 可 
能 。 当 然 ,这 种 通用 性 是 靠 高 度 精 练 的 对 安全 的 描述 来 实现 的 ,如 果 没 有 保护 轮廓 , 则 有 可 
能 适得其反 ,通用 性 也 会 导致 星 涩 性 。 

(4) 保护 轮廓 和 安全 目标 的 引入 在 通用 安全 要 求 与 具体 的 安全 要 求 之 间架 起 了 桥梁 ， 
以 用 户 需 求 为 中 心 的 保护 轮廓 突 出 体现 了 安全 以 需求 为 目标 的 宗旨 。 


13.1.3 ”CC 的 评估 类 型 


CC 评估 共 分 为 3 种 类 型 ,它们 用 来 评估 各 种 需求 文档 及 最 终 的 产品 系统 ,评估 将 得 到 
相应 的 评估 结果 和 文档 ,这 些 评估 结果 又 可 以 应 用 于 其 他 的 评估 过 程 或 直接 被 使 用 和 引用 。 
CC 评估 的 类 型 有 以 下 几 种 。 

(1) PP 评估。PP 评估 的 目的 是 为 了 证 明 PP 是 完备 的 、 一 致 的 .技术 合理 的 ,并 适合 于 
表达 一 个 可 评估 的 TOE 要 求 。PP 评估 应 得 到 一 个 “通过 /未 通过 ”的 陈述 。 

(2) ST 评估 。ST 评估 的 目的 首先 是 为 了 证 明 ST 是 完备 的 ,一 致 的 .技术 合理 的 , 适 
合作 为 相应 TOE 评估 的 基础 ; 其 次 , 当 某 一 个 ST 宣称 与 某 一 个 PP 一 致 时 ,证 明 ST 满足 
该 PP 的 要 求 。 

(3) TOE 评估 。 评 估 者 依照 CC 第 三 部 分 的 评估 准则 ,遵从 CEM 中 的 EAL1 一 EAL4 
部 分 进行 评估 。TOE 评估 是 使 用 一 个 已 经 评估 过 的 ST 作为 基础 ,其 目标 是 为 了 证 明 TOE 
满足 ST 中 的 安全 要 求 。TOE 评估 应 得 到 一 个 “通过 /未 通过 ”的 陈述 。 

上 述 三 者 之 间 的 关系 如 图 13. 3 所 示 。 

由 图 13. 3 中 可 以 看 出 ,如 果 PP 评估 成 功 ,那么 这 个 PP 就 会 被 编目 , 它 可 以 被 ST 引 
用 。ST 评估 的 结果 只 能 作为 TOE 评估 的 基础 。 评 估 完 TOE 后 ,如 果 成 功 就 可 以 编目 
证 书 。 
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图 13.3 3 种 类 型 评估 的 关系 





















































一 旦 TOE 开始 使 用 ,如 果 环 境 假设 .TOE 本 身 等 发 生变 化 ,就 需要 对 产品 进行 再 次 评 
估 。CC 中 专门 定义 了 两 个 需求 类 : APE( 保 护 轮廓 评估 ) 和 ASE( 安 全 目标 评估 ) ,分 别 作 
为 PP 和 ST 的 评估 标准 。 这 两 个 类 和 其 他 的 安全 保证 类 要 求 同 时 被 编 在 CC 标准 的 第 三 
部 分 。 但 是 这 些 类 没有 明确 地 细 化 给 出 评估 时 的 工作 ,因此 开发 了 通用 评估 方法 (Common 
Evaluation Methodology,CEM) 作 为 评估 的 指导 细则 。 


13.2 ”网络 安全 评估 方法 和 流程 


CC 作为 通用 的 评估 准则 ,本 身 并 不 涉及 具体 的 评估 方法 ,信息 技术 的 评估 方法 论 主要 
由 通用 评估 方法 (CEM) 给 出 。CEM 主要 包括 评估 的 一 般 原则 : PP 评估 、ST(Security 
Target) 评 估 和 EAL1~EAL4 的 评估 。CEM 与 CC 中 的 保证 要 求 相 对 应 ,但 CEM 不 涉及 
互 认 方面 的 有 关 安 排 。 目 前 CEM 中 还 不 包括 与 通用 准则 (CC) 中 评估 保证 级 别 EAL5 一 
EAL7、ALC、FLR 和 AMA 类 相关 的 评估 活动 。 

CEM 是 实施 信息 技术 安全 评估 工作 的 评估 人 员 在 评估 时 遵循 的 工作 准则 ,但 对 从 事 信 
息 安全 产品 或 系统 集成 的 开发 人 员 .评估 申请 者 ,以 及 评估 认证 机 构 的 工作 人 员 也 有 很 重要 
的 参考 价值 。 

CEM 由 两 部 分 组 成 : 第 一 部 分 为 简介 与 一 般 模型 ,包括 评估 的 一 般 原则 .评估 过 程 中 
的 角色 ,评估 全 过 程 概况 和 相关 术语 解释 ; 第 二 部 分 为 评估 方法 ,详细 介绍 适用 于 所 有 评估 
的 通过 用 评估 任务 .PP 评估 、ST 评估 、.EAL1 一 EAL4 评估 及 评估 过 程 中 使 用 的 一 般 技 术 。 
第 二 部 分 按照 EAL 来 组 织 , 只 涉及 保证 要 求 对 应 的 评估 活动 ,以 工作 单元 的 形式 进行 描 
述 , 即 评估 人 员 在 评估 时 应 执行 什么 动作 。 

按 CEM 进行 评估 ,在 评估 过 程 中 至 少 有 4 种 角色 值得 重视 。 这 4 种 角色 分 别 是 评估 
申请 者 、 开 发 人 员 ,评估 人 员 和 评估 认证 机 构 。 评 估 申 请 者 申请 评估 ,是 评估 任务 的 来 源 , 在 
评估 过 程 中 负责 收集 评估 所 需 的 评估 证 据 。 开 发 人 员 可 能 是 TOE 的 开发 者 或 系统 集成 
商 ,也 可 能 是 PP 的 制定 者 。 开 发 人 员 可 能 参与 评估 活动 ,但 评估 证 据 最 终 由 开发 人 员 提 
供 。 评 估 人 员 的 责任 是 接收 来 自 评估 申请 者 的 评估 证 据 , 执 行 具 体 的 评估 动作 ,确定 每 层次 
的 裁决 结果 ,整理 评估 结论 并 证 明 其 正确 性 。 评 估 认 证 机 构 在 评估 过 程 中 扮演 监督 和 管理 
者 的 角色 ,其 任务 是 建立 评估 体制 ,监督 评估 过 程 。 
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13.2.1 CC 评估 的 流程 


进行 CC 评估 的 大 体 流 程 如 图 13. 4 所 示 。 用 户 通常 最 感 兴趣 的 是 对 TOE 评估 的 结 
果 , 以 便 产品 可 以 用 于 更 广泛 的 市 场 ,所 以 图 13. 4 中 主要 描述 了 TOE 评估 ,这 里 假设 使 用 
的 PP 是 经 过 评估 的 ,ST 引用 了 某 些 PP。 
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13.4 CC 评估 的 流程 


首先 ,评估 相关 团体 (如 评估 发 起 者 、TOE 开发 者 等 ) 使 用 和 遵从 CC 标准 对 描述 TOE 
的 TOE 文档 进行 修改 ,生成 TOE 修正 文档 。 然 后 评估 相关 团体 使 用 CC Tool box、CC 标 
准 、 相 关 的 PP, 以 及 TOE 修正 文档 生成 的 ST, 其 中 CC Tool box 是 一 款 用 于 生成 PP 和 ST 
文档 的 软件 。 此 时 ,评估 的 准备 工作 就 完成 了 。 当 ST、TOE 修正 文档 、TOE 被 提交 给 评估 
者 后 ,评估 者 使 用 CC 标准 ,遵从 CEM 进行 CC 评估 ,审查 ST、PP( 如 果 ST 和 从 某 个 PP 派 
生 的 )、TOE 修正 文档 ,测试 TOE, 完 成 ETR 报告 。 最 后 ,评估 者 将 ETR 报告 提交 给 认证 
者 进行 认证 。 到 此 ,整个 CC 评估 结束 。 在 整个 CC 评估 期 间 , 评 估 监 督 者 对 整个 评估 过 程 
进行 监督 ,从 而 保证 评估 的 公正 性 、 客 观 性 。 

在 评估 过 程 中 ,评估 者 按照 每 个 行为 包含 的 动作 进行 评估 ,然后 为 评估 者 行为 元 素 确定 
评估 结果 。 评 估 的 结果 有 3 种 : 成 功 .失败 不 确定 。 评 估 行 为 结果 不 确定 是 指 评估 者 没有 
完成 评估 行为 包含 的 所 有 评估 动作 。 只 要 存在 一 个 评估 行为 结果 为 不 确定 ,那么 整个 评估 
就 为 不 确定 。 

评估 者 依照 下 面 的 算法 确定 评估 最 终结 果 。 

FOR 每 个 活动 Activity 

FOR 每 个 子 活动 Sub-Activity 
FOR 每 个 行为 Action 
FOR 每 个 动作 Work unit 依照 CEM 给 的 指南 ,进行 评估 ,给 予 评估 结果 (成 功 、 失 败 . 不 确定 ) 
亚 任何 动作 失败 , 则 行为 失败 
I 任何 行为 失败 , 则 子 活动 失败 
亚 任何 子 活动 失败 , 则 活动 失败 ,并 且 要 写 观察 报告 OR(Observation Report) 
JIE 任何 活动 失败 ,评估 的 结果 失败 
JIE 任何 动作 不 确定 , 则 整个 评估 是 不 确定 的 
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上 述 算 法 的 理念 是 : 一 个 动作 的 失败 将 会 导致 整个 行为 的 失败 ,直至 整个 评估 的 失败 。 
但 是 在 CEM 中 的 活动 、 子 活动 ,行为 和 动作 是 不 能 最 终 赋 予 评估 结果 的 ,CC 评估 中 评估 结 
果 只 能 最 终 赋 予 保证 类 、 组 件 和 评估 者 行为 元 素 。 因 为 CEM 结构 和 CC 保证 要 求 的 对 应 关 
系 , 所 以 可 以 用 该 算法 进行 评估 。 值 得 注意 的 是 ,在 最 终 评估 结果 或 评估 技术 报告 
(Evaluation Technology Report,ETR) 中 ,只 有 CC 保证 要 求 的 各 个 类 、 组 件 和 评估 者 行为 
元 素 才 有 评估 结果 。 

在 完成 评估 后 ,评估 者 要 提交 评估 技术 报告 。 即 使 评估 失败 ,也 要 提交 评估 技术 报告 ， 
并 且 还 要 在 其 中 包含 观察 报告 ,观察 报告 是 用 来 记载 评估 失败 的 原因 的 ,并 给 出 解决 方案 和 
建议 。ETR 和 OR 都 有 固定 的 格式 。 评 估 者 提交 的 ETR 和 OR 是 认证 者 对 产品 认证 的 主 
要 依据 。 


13.2.2 CC 评估 的 现状 和 存在 的 问题 


CC 评估 的 结果 具有 国际 互 认 的 优势 ,但 是 仅 限于 EAL1~EAL4 级 。 通 用 评估 方法 中 
目前 不 包括 EAL4 级 以 上 的 评估 方法 ,而 且 国际 上 可 以 受理 CC 评估 的 机 构 还 不 多 ,主要 集 
中 在 欧美 等 国家 机 构 ,许多 国家 还 处 于 消化 吸收 标准 的 阶段 。 

CC 评估 是 一 个 复杂 、 费 时 的 过 程 。 造 成 这 一 问题 的 主要 原因 除了 CC 本 身 的 复杂 性 
外 ,还 和 以 下 几 个 问题 相关 。 

(1) 针对 CC 评估 的 辅助 工具 缺乏 ,目前 比较 著名 的 工具 有 前 面 提 到 的 CC Toolbox。 
缺少 优秀 的 评估 工具 ,评估 的 效率 很 难得 到 提高 。 

(2) 专业 性 安全 需求 文档 (如 PP 文档 等 ) 缺 乏 。PP 不 仅仅 是 一 个 简单 的 安全 需求 文 
档 , 它 同时 也 是 能 够 被 用 来 作为 某 类 产品 安全 特征 需求 模板 ,目前 存在 一 些 数 据 库 、 操 作 系 
统 、 防 火 墙 等 方面 的 PP。 但 总 体 上 来 说 这 些 文档 还 是 缺少 的 。 这 在 一 定 程度 上 降低 了 CC 
评估 的 效率 。 

(3) ST 编写 的 难度 大 。ST 是 CC 评估 的 重要 基础 ,ST 不 仅 要 充分 体现 TOE 安全 方 
面 的 特性 ,还 要 符合 CC 的 规范 。 这 就 要 求 ST 的 编写 者 不 仅 需要 熟悉 TOE, 还 要 会 用 CC 
的 语言 去 表述 TOE 的 安全 性 。 这 从 另 一 个 方面 影响 了 CC 评估 的 效率 。CC 评估 结果 只 适 
用 于 一 定 的 TOE 版 本 和 配置 , 当 TOE 发 生 一 定 变化 时 ,CC 评估 的 结果 将 不 再 适用 ,需要 
再 次 评估 。 然 而 CC 评估 需要 耗费 巨大 的 资源 。 因 此 这 不 仅 限制 了 开发 者 对 产品 的 升级 ， 
同时 还 限制 了 产品 用 户 对 系统 的 改进 。 


13.2.3 CC 评估 发 展 趋势 


目前 CC 评估 主要 的 问题 有 提高 评估 的 效率 、 加 强国 际 互 认 性 。 因 此 CC 评估 发 展 主要 
有 以 下 的 趋势 。 

(1) 流程 性 评估 方法 的 研究 。 流 程 性 评估 方法 能 够 提高 CC 评估 及 再 评估 的 效率 , 保 
证 评估 结果 的 科学 性 。 

(2) EAL5 一 EAL7 通用 评估 方法 的 研究 。 目 前 CEM 中 对 EAL4 以 上 的 评估 保证 级 没 
有 通用 的 评估 方法 ,因此 需要 开发 技术 .工具 和 方法 来 支持 EAL5 一 EAL7 评估 。 这 个 问题 
的 解决 不 仅 能 加 强 CC 评估 结果 的 国际 互 认 , 更 能 够 帮助 识别 产品 系统 中 的 脆弱 性 。 
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(3) TOE 安全 环境 的 标准 化 。TOE 安全 环境 包括 三 部 分 : 假设 .威胁 和 组 织 安全 策 
略 。TOE 安全 环境 是 PP 和 ST 的 基础 ,而 且 安全 环境 具有 一 定 的 普 适 性 ,因此 ,安全 环境 
的 标准 化 将 会 使 PP 和 ST 的 编写 更 标准 化 ,从 而 提高 评估 的 效率 。CC Tool box 的 数据 库 
就 存储 了 一 部 分 常见 的 TOE 安全 环境 ,但 还 需要 不 断 扩充 与 升级 。 

(4) 评估 工具 的 开发 。 评估 工 具 能 够 提高 评估 的 效率 ,提高 评估 的 准确 性 。 


13.3 网络 安全 检测 评估 系统 简介 


计算 机 网 络 信息 系统 安全 检测 评估 系统 的 发 展 非常 迅速 ,现在 已 经 成 为 计算 机 网 络 信 
息 系 统 安全 解决 方案 的 重要 组 成 部 分 。 下 面 以 Tenable 公司 的 Nessus 和 IBM 公司 的 
AppScan 为 例 来 介绍 网 络 安全 检测 评估 系统 。 


13.3.1 Nessus 


1. Nessus 简介 

Nessus 是 一 套 功能 强大 的 网 络 安全 检测 工具 ,被 认为 是 目前 使 用 人 数 最 多 的 系统 漏洞 
扫描 与 分 析 软 件 。 很 多 机 构 使 用 Nessus 作为 扫描 机 构 内 部 网 络 系 统 的 软件 。Nessus 2.x 
以 前 的 版 本 是 以 开源 代码 的 形式 发 布 的 ,而 Nessus3 以 后 的 版 本 已 经 不 再 开放 源 代码 ,当前 
最 新 的 为 Nessus 6.9 系列 。Nessus 对 个 人 用 户 是 免费 的 ,只 需要 在 官方 网 站 上 通过 邮箱 
申请 激活 号 码 就 可 以 使 用 ,但 对 商业 用 户 是 收费 的 。 

Nessus 主要 有 以 下 特点 。 

(1) 支持 多 种 操作 系统 。Nessus 支持 在 Microsoft Windows、Linux、Mac OS 和 
FreeBSD 等 多 种 操作 系统 上 运行 ,用 户 可 以 根据 需要 选择 相应 的 版 本 。 

(2) 采用 B/S 架构 。 新 版 Nessus 采用 B/S 架构 进行 扫描 检测 。Nessus 服务 器 包括 一 
个 扫描 引擎 和 一 个 Web 服务 器 ,客户 端 只 需要 通过 一 个 Web 浏览 器 就 可 以 对 Nessus 进行 
操作 控制 。 

(3) 采用 Plugin 技术 。Nessus 通过 Plugin 技术 不 断 扩 展 自 身 的 扫描 能 力 , 每 个 Plugin 
只 完成 特定 漏洞 的 检测 或 某 些 特定 的 功能 。Nessus 的 Plugin 都 在 随时 更 新 ,官方 每 天 都 有 
新 的 Plugin 弱点 检测 项 目 公布 ,使 得 Nessus 可 以 及 时 检测 出 更 新 和 更 多 的 漏洞 。 这 种 利 
用 漏洞 插件 的 扫描 技术 极 大 地 方便 了 漏洞 数据 的 维护 与 更 新 ,也 是 Nessus 之 所 以 强大 的 主 
要 原因 。 

(4) 调用 外 部 程序 增强 测试 能 力 。Nessus 在 扫描 时 可 以 通过 调用 一 些 外 部 程序 来 额 
外 增强 检测 能 力 , 如 调用 Nmap 来 扫描 端口 和 操作 系统 类 型 .调用 Hydra 来 测试 系统 上 的 
脆弱 密码 ,以 及 调用 Nikto 来 检测 Web 程序 的 弱点 等 。 

(5) 生成 详细 报告 。Nessus 可 以 生成 多 种 格式 的 扫描 结果 报告 ,包括 HTML、CSV、 
PDF、Nessus 和 Nessus DB 等 。 报 告 的 内 容 包 括 扫描 目标 的 安全 漏洞 .修补 漏洞 的 建议 和 
和 危害 级 别 等 。 
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2. Nessus 的 安装 

(1) 在 Linux 系统 上 的 安装 。 

OO 通过 http://www. tenable. com/products/nessus/select-your-operating-system 下 
载 最 新 版 本 Nessus。 这 里 假设 下 载 的 文件 为 Nessus-6. 9. 1-es6. i386. rpm。 

@ 下 载 成 功 后 ,把 文件 放 到 home 目录 中 ,然后 在 Terminal 终端 中 执行 以 下 命令 ,启动 
安装 过 程 。 

Sudodpkg - INessus - 6.9.1- es6. i386.rpm 

@ 安装 后 出 现 以 下 提示 ,表示 安装 成 功 。 这 里 假设 计算 机 名 称 为 mine。 

Processing the Nessus plugins… 

[ 提 提 提 打 提 提 提 提 井 提 提 提 提 提 提 提 提 打 井 提 打 井 间 并 提 并 提 提 间 并 并 间 间 并 并 井 提 并 间 并 并 并 ] 

All plugins loaded 

— You can start nessusd by typing /etc/init. d/nessusd start 

— Then go to https://mine:8834/ to configure your scanner 

@ 根据 提示 , 先 启动 Nessus 服务 器 ,命令 为 sudo /etc/init. d/nessusd start。 

Q@ 通过 浏览 器 ,打开 https://localhost: 8834/ ,根据 提示 来 配置 Nessus 扫描 器 。 
Nessus 欢迎 界面 如 图 13. 5 所 示 。 


Welcome to Nessus® 6 加 Nessus 


Thank you for installing Nessus, the world leader in vulnerability scanners. Nessus will allow you to perform: 


® High-speed wulnerability discovery to determine which hosts are running which services 
® Agentless auditing to make sure no host on your network is missing security patches | 
® Compliance checks to verify that every host on your network adheres to your security policy 

® Scan scheduling to automatically run scans at the frequency you select 

® And more! 


Press continue to perform account setup, register this scanner, and download the latest plugins. 


图 13.5 Nessus 欢迎 界面 


© 在 http://www. tenable. com/products/nessus/nessus-plugins/obtain-an-activation-code 
上 注册 获得 激活 码 。 输 入 激活 码 后 就 可 以 直接 使 用 。 

(2) 在 Windows 系统 上 的 安装 。 在 Windows 系统 上 的 安装 较为 简单 ,直接 下 载 相 应 
版 本 的 安装 软件 ,进行 安装 即 可 。 安 装 完成 后 在 浏览 器 中 输入 “https://localhost:8834/”， 
根据 提示 输入 激活 码 即 可 使 用 。 

3. Nessus 的 使 用 

(1) 登录 。Nessus 安装 好 后 ,在 Web 浏览 器 中 输入 “https://localhost:8834/” 就 可 以 
进入 Nessus 登录 界面 ,如 图 13.6 所 示 。 需 要 注意 的 是 ,Nessus 只 支持 通过 SSL 加 密 保护 
http 协议 访问 ,不 支持 未 加 密 的 http 协议 。 
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过 Nessus 





1 


a 


图 13.6 Nessus 登录 界面 








使 用 安装 阶段 创建 的 管理 账户 和 密码 通过 身份 验证 ,就 可 以 进入 图 13. 7 所 示 的 主 操作 
界面 ,包括 管理 策略 (Policies) 和 扫描 任务 (Scans) 菜 单 。 





My Saans Nome Snesule Last Mociied, 
Tam Home Networe ost Dueoven Once on Decemoer4at1200AM 四 NA 

As 

New Folder 


13.7 ”Nessus 主 操作 界面 
(2) 基本 设置 。 在 界面 中 单 击 当前 登录 的 用 户 名 ,就 可 以 对 该 用 户 的 配置 文件 User 
Profile 进行 设置 ,也 可 以 对 Nessus 系统 配置 Setting 进行 设置 。“ 用 户 配置 文件 ”设置 界面 
如 图 13. 8 所 示 。 





澡 Nessus 
User Profile 
《 Back Account Settings 
Account Settings 
Usemame ty 
Change Password 
User Type System Administrator 


Plugin Rules 


API 


13.8 ”用户 配置 文件 设置 界面 


在 “用 户 配置 文件 ?设置 界面 中 可 以 设置 账户 信息 、 修 改 密码 ,以 及 设置 Plugin 插件 规 
则 。 其 中 “插件 规则 ”选项 可 以 创建 一 套 规则 ,规定 插件 的 执行 行为 。 一 个 规则 可 以 基于 主 
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机 、 插 件 ID .可 选 的 到 期 日 期 和 危险 程度 等 进行 设置 。 
在 Setting 设置 菜单 下 ,可 以 进行 Scanners( 扫 描 引 擎 )、SMTP Server( 邮 件 服务 器 )、 
Advanced( 具 体 参数 ) 和 Proxy( 代 理 ) 等 设置 ,如 图 13. 9 所 示 。 





Settings 


Sanners 。 Accounts Communication Advanced 


to anner Overview 
overvew 
Nessus Home Plugins 
Sorware update 
Status © onine Last Upeated NAO 
Version Ele7l O Epination December 02, 2021 
Platform WiNDOwsS Plugin Set NA 
Last Connection Today at S16 PM Actvation Code £6C9-8A76-8DE1-6DA9-D141 / 


图 13.9 参数 设置 界面 


(3) 制定 扫描 策略 。Nessus 扫描 策略 包括 了 与 漏洞 任务 相关 的 各 种 配置 选项 。 主 要 
包括 以 下 几 个 。 

@ 控制 类 参数 ,如 超时 、 主 机 数目 、 端 口 类 型 和 扫描 方式 等 。 

@ 本 地 扫描 的 身份 验证 凭据 ,如 Windows、SSH、 数 据 库 扫描 HTTP、FTP、POP、 
IMAP 或 基于 Kerberos 身份 验证 等 。 

@ 扫描 插件 选择 。 

@ 法 规 遵从 性 策略 检查 .报告 的 详细 程度 和 服务 检测 扫描 设置 。 

Nessus 策略 分 为 两 大 类 默认 策略 和 用 户 创建 策略 。 默 认 策略 存储 在 策略 库 中 ,主要 
策略 模板 如 图 13. 10 所 示 。 


Policy Library 


A Templates .Scanner 


和 aN 多 器 4 Nh. 
© 9 5N oo 0N.ON 
人 二 BN AN © 


图 13. 10 ”Nessus 主要 策略 模板 


Nessus 的 策略 设置 包括 五 部 分 : Basic、Discovery、Assessment、Report 和 Advanced。 
提供 这 些 部 分 的 参数 设置 可 以 调整 用 户 的 策略 设置 。 
其 中 Basic 部 分 主要 设置 策略 名 称 及 其 基本 描述 信息 。Discovery 部 分 主要 设置 主机 


328 计算 机 信息 安全 技术 (第 2 版 ) 





发 现 、 端 口 扫 描 和 服务 发 现 机 制 的 策略 ,如 图 13. 11 所 示 。 


ansrc Settings/ Discovery / Host Discovery 
Drscoveny 
a Ping the remote nost . 
Port Sanning 
Sevice Discovery General Settings 
AsSESSMENT 加 Testneloal Nessus host 
™ ‘oeries whether es ea ed 
aromr 
Aovwnaa 





图 13.11 扫描 策略 Discovery 部 分 设置 


Assessment 部 分 主要 配置 Web 应 用 的 扫描 设置 和 Windows 的 扫描 设置 。Report 部 
分 主要 配置 报告 显示 方式 。Advanced 部 分 主要 配置 更 高 级 的 功能 ,包括 性 能 设置 .额外 的 
检查 和 日 志 记录 功能 等 。 

如 果 不 想 用 策略 向 导 来 创建 用 户 扫 描 策略 ,可 以 通过 Advanced Scan 选项 自主 地 创建 
自己 的 策略 ,在 此 模式 下 ,用 户 拥 有 对 所 有 选项 的 控制 权 , 但 同时 也 需要 用 户 对 各 选项 有 较 
深入 的 了 解 ,否则 不 仅 不 能 提高 扫描 质量 和 效率 ,甚至 可 能 造成 一 些 负面 的 影响 。 

(4) 创建 .启动 和 调度 扫描 任务 。 通 过 单 击 Scans 中 的 New Scan 按钮 可 以 进入 如 
图 13. 12 所 示 的 任务 配置 界面 。 


New Scan / Basic Network Scan 


Saan Libmary > Settings Credentials 











BASIC ~ Settings / Basic / General 

General 

schedule Name 0 ED 

Notifications 
Description 

onoovew 

As 

REPORT Folder My Scans - 

人 Targets [reoumes ] 
Upioad Targets Aod File 


图 13.12 扫描 任务 配置 界面 
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其 中 Targets 部 分 用 来 设置 要 扫描 的 目标 主机 范围 。Nessus 支持 多 种 形式 表达 的 目 
标 地 址 ,包括 单个 IP 地 址 (如 192. 168.1.1)、IP 范围 (如 192.168.1.1~192.168.1.10)、 可 
解析 主机 域名 (如 www. nessus. org) 或 一 个 单一 的 IPv6 地 址 等 。 

Schedule 部 分 用 来 设 定 扫描 任务 的 执行 时 机 ,可 以 是 立即 执行 、 请 求 执行 、 执 行 一 次 、 
每 日 执行 、 每 周 执行 、 每 月 执行 和 每 年 执行 。 

扫描 任务 配置 完成 以 后 , 单 击 “Save” 按 钮 可 以 保存 扫描 任务 ,并 按 设 定 的 计划 时 间 进 行 
扫描 的 执行 。 

(5) 查看 扫描 结果 报告 , 即 可 对 扫描 结果 进行 浏览 查看 。 扫 描 结果 可 以 按照 主机 漏洞 
和 端口 等 方式 进行 组 织 。 默 认 的 结果 显示 视图 为 主机 漏洞 摘要 ,通过 一 个 彩色 编码 条 来 汇 
总 每 个 主机 的 漏洞 分 布 情况 ,如 图 13. 13 所 示 。 








192.168.200.142 Confgue ac a Each Epor 
San ) Hors 图 vote 国 tony 
nos Wresttes ~ Scan Dee 


sso EEC Mme aa 





图 13.13 扫描 结果 报告 


(6) 导出 扫描 结果 。 从 Scans 界面 中 选择 一 个 扫描 任务 。 在 扫描 结果 报告 界面 中 单 击 
Export 下 拉 按 钮 ,选择 扫描 结果 的 报告 格式 ,确定 报告 格式 后 可 以 进一步 选择 报告 中 要 包 
含 的 内 容 。 


13.3.2 AppScan 


1. AppScan 简介 

AppScan 的 全 称 为 [BM Security AppScan, 是 IBM 公司 面向 Web 应 用 的 商用 安全 检 
测 工 具 。AppScan 的 早期 名 称 为 IBM Rational AppScan, 现 在 已 经 改名 为 [BM Security 
AppScan, 最 新 的 版 本 为 AppScan9. x 系列 。 

AppScan 是 业界 领先 的 Web 应 用 安全 检测 工具 ,提供 了 扫描 、 报 告 和 修复 建议 等 功能 ， 
能 够 在 Web 应 用 开发 、 测 试 、 维 护 级 运营 的 整个 生命 周期 中 ,帮助 用 户 高 效 地 发 现 和 处 理 安 
全 漏洞 ,最 大 限度 地 保证 Web 应 用 的 安全 性 。 

AppScan 采用 3 种 彼此 互补 和 增强 的 不 同 测试 方法 。 

(1) 动态 分 析 ( 黑 盒 扫 描 )。 动 态 分 析 是 AppScan 的 主要 方法 ,用 于 测试 和 评估 运行 时 
的 应 用 程序 响应 。 因 此 AppScan 有 时 也 被 称 为 黑 盒 测试 工具 。 

(2) 静态 分 析 ( 白 盒 扫 描 )。 静 态 分 析 适 用 于 在 完整 Web 页 面 上 下 文中 分 析 JavaScript 
代码 的 独特 技术 。 

(3) 交互 分 析 (Glass box 扫描 )。 动 态 测试 引擎 可 与 驻 留 在 Web 服务 器 的 专用 Glass- 
box 代理 程序 交互 ,从 而 使 AppScan 能 够 比 仅 通过 传统 动态 测试 时 识别 更 多 的 问题 ,并 具 
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有 更 高 的 准确 性 。 


AppScan 的 安装 比较 简单 。 它 对 运行 环境 的 基本 要 求 如 下 。 


O@ 操作 系统 要 求 Microsoft Windows Server 2008 或 Windows 7 以 上 版 本 。 


@ 浏览 器 要 求 IE 8 以 上 版 本 。 
@ .NET 框架 要 求 Microsoft .NET Framework 4. 5 版 本 。 


2. AppScan 的 使 用 


(1) 创建 扫描 任务 。 在 默认 配置 情况 下 ,启动 AppScan 会 打开 如 图 13. 14 所 示 的 任务 
创建 向 导 界 面 。 在 此 界面 下 可 以 查看 最 近 的 扫描 任务 ,也 可 以 创建 新 的 扫描 任务 。 










@ 打 -~ 

口 人 建新 9 扫 蘑 ~- 
最 近 的 扫 莉 

WN) demotestfirend 
demo.testfire.net 
GSC_demo .testfire 


IBMe Security AppScan Standard 


© Wit Appsmn 

便 Appscan Standard 演示 视频 
盖 ) 下 载 扩 民 

@) NN] (eon 


IBMApplication security Insider 








灰 让 AppSean 时 显示 该 屏幕 (D) 





关 ac) | 


图 13.14 任务 创建 向 导 界 面 


在 图 13. 14 所 示 的 界面 中 , 单 击 “ 创 建新 的 扫描 ”按钮 ,将 弹出 如 图 13. 15 所 示 的 “新 建 
扫描 ”对 话 框 。 在 该 对 话 框 中 ,有 最 近 使 用 的 模板 和 预定 义 的 模板 ,用 户 可 以 根据 需要 选择 
模板 ,启动 相应 类 型 的 扫描 任务 的 配置 向 导 , 如 图 13. 16 所 示 。 





最 近 的 模板 
Regular Scan 
demo testfire ndt 
EE 





预定 义 的 模板 

肖 常规 扫 莘 

区 快速 日 漳 侧 9 要 六 
区 基于 允 孝 的 导航 
泣 websphere Commerce 
汪 websphere Portal 
A demotestirend 
阁 生 产 站 点 

司 haone Bank 
WebGoat v5 

司 workigtt 
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图 13.15 


me) | 


“新 建 扫描 ”对 话 框 
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固氮 配置 向 导 





图 13.16 扫描 配置 向 导 


在 “扫描 配置 向 导 ” 对 话 框 中 选择 想 要 使 用 的 扫描 方法 ,通常 使 用 默认 设置 的 *AppScan 
(自动 或 手动 )”, 单 击 “ 下 一 步 ” 按 钮 ,进入 “URL 和 服务 器 ?配置 向 导 界 面 ,如 图 13. 17 所 示 。 





图 13.17 “URL 和 服务 器 ”配置 向 导 界 面 


这 里 的 “起 始 URL” 可 以 是 完整 的 URL 地 址 ,也 可 以 是 IP 地 址 或 域名 等 ,然后 根据 需 
要 设置 其 他 选项 , 单 击 “下 一 步 ?按钮 ,进入 如 图 13. 18 所 示 的 “登录 管理 ?配置 向 导 界 面 。 在 
这 里 设置 希望 使 用 的 登录 目标 服务 器 的 方法 ,包括 “记录 ”提示 ”和 “自动 ”等 ,每 种 方法 的 含 
义 在 选择 后 对 应 的 界面 中 都 有 相应 的 介绍 。 单 击 “ 下 一 步 ”按钮 进入 如 图 13. 19 所 示 的 “ 测 
试 策略 ?配置 向 导 界 面 。 
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图 13. 19 “测试 策略 ”配置 向 导 界面 


AppScan 预定 义 了 多 种 测试 策略 ,每 种 策略 的 含义 在 选择 后 界面 中 都 有 相应 的 介绍 。 
单 击 “ 下 一 步 ” 按 钮 进入 如 图 13. 20 所 示 的 “完成 ”扫描 配置 向 导 界 面 。 

在 图 13. 20 所 示 的 界面 中 选择 希望 的 启动 方式 , 单 击 “ 完 成 ”按钮 完成 扫描 任务 的 创建 ， 
如 果 选 中 “完成 “扫描 配置 向 导 ’ 后 启动 “扫描 专家 '” 复 选 框 , 即 可 立即 启动 扫描 任务 。 

如 果 和 希望 对 扫描 参数 进行 深入 的 自主 配置 ,可 以 在 如 图 13. 17 的 界面 中 单 击 “ 完 全 扫描 
配置 ?链接 ,进入 完全 自主 的 任务 配置 界面 ,如 图 13. 21 所 示 。 
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图 13.21 完全 自主 的 任务 配置 界面 


(2) 执行 扫描 任务 。 扫 描 任务 创建 好 以 后 ,如 果 任 务 没 有 立即 启动 ,可 以 在 AppScan 
主 界面 中 单 击 “ 扫 描 ” 菜 单项 启动 该 任务 。 

(3) 查看 扫描 结果 。 在 扫描 任务 执行 过 程 中 ,就 可 以 查看 扫描 发 现 的 问题 ,如 图 13. 22 
所 示 。 
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图 13.22 查看 扫描 结果 


在 AppScan 中 ,扫描 结果 可 以 以 多 种 规范 的 报告 的 形式 呈现 ,如 图 13. 23 所 示 。 可 以 
按照 安全 报告 .行业 标准 报告 、 合 规 一 致 性 报告 和 自己 指定 的 企业 模板 等 方式 来 生成 报告 。 





图 13.23 创建 报告 界面 
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网 络 安全 检测 与 评估 是 保证 计算 机 网 络 系统 安全 的 有 效 手 段 , 在 计算 机 网 络 系统 安全 


解决 方案 中 占有 重要 地 位 。 网 络 安全 检测 与 评估 的 目的 是 通过 一 定 的 技术 手段 先 于 攻击 者 
发 现 计 算 机 网 络 系 统 存 在 的 安全 漏洞 ,并 对 计算 机 网 络 系统 的 安全 状况 做 出 正确 的 评价 。 
网 络 安全 检测 与 评估 的 主要 概念 包括 网 络 安全 漏洞 .网络 安 全 评估 标准 、 网 络 安全 评估 方法 
和 网 络 安全 检测 评估 系统 等 。 


习 题 13 


一 、 选 择 题 
1. 在 TCSEC 中 ,美国 国防 部 按 处 理 信息 的 等 级 和 应 采用 的 响应 措施 ,将 计算 机 信息 安 


全 从 低 到 高 分 为 ( )。 


是 ( 


A ACLIC2BI.B2.BSD B. D.B1.B2.ClsC2:C3: A 
C. DiClsC2:Bl,B2:.B3, A D: A.BLsB2:C1.C2:C3.D 

2. UNIX、Linux、Windows 在 TCSEC 中 属于 ( ) 安 全 级 别 的 操作 系统 。 
A. A B.D €; C2 D. Bl 

3. 端口 扫描 主要 检测 端口 开放 性 问题 ,SQL Server IIS 和 FTP 的 默认 端口 号 分 别 
A. 1433 端口 .80 端口 和 23 端口 B. 1414 端口 .8080 端口 21 端口 
C. 1434 端口 .80 端口 .21 端口 D. 1433 端口 .80 端口 .21 端口 

4. 人 们 通常 所 说 的 CC 是 指 ( ) 标 准 。 
A, TCSEC B. SSE-CMM C. ISO17799 D. ISO15408 


5. 信息 安全 风险 管理 应 该 ( ) 。 
A. 将 所 有 的 信息 安全 风险 都 消除 
B. 在 风险 评估 之 前 实施 
C. 基于 可 接受 的 成 本 采取 相应 的 方法 和 措施 
D. 以 上 说 法 都 不 对 





二 、 填空 题 
1. TCSEC 可 以 从 安全 策略 模型 、 和 4 个 方面 进行 描述 。 
2. 通用 评估 方法 CC 中 目前 不 包括 级 以 上 的 评估 方法 。 
3. CC 作为 通用 的 评估 准则 ,本 身 并 不 涉及 具体 的 评估 方法 ,信息 技术 的 评估 方法 主要 
由 给 出 。 
、 简 答题 


1. 简 述 网 络 安全 检测 与 评估 对 保障 计算 机 网 络 信息 系统 安全 的 作用 。 
2. 简 述 CC 评估 标准 的 7 个 评估 保证 级 的 评估 要 求 。 
3. 简 述 CEM 评估 模型 的 评估 流程 。 
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实验 1 数据 的 加 密 与 解密 


1. 实验 目的 

通过 对 DES 和 RSA 的 使 用 和 开发 .加深 对 数据 加 密 算法 的 理解 ,掌握 对 称 加 密 和 非 对 
称 加 密 体 制 的 算法 框架 ,提高 对 加 密 和 解密 原理 的 认识 ,学 会 使 用 加 密 和 解密 软件 。 

2. 实验 原理 

密码 体制 是 指 实现 加 密 和 解密 功能 的 密码 方案 ,从 密 钥 使 用 策略 上 ,可 分 为 对 称 密码 体 
制 和 非 对称 密 码 体制 两 类 。 非 对 称 密码 体制 也 被 称 为 公 钥 密 码 体制 。 它 们 的 主要 差别 在 于 
解密 时 所 用 的 解密 密 钥 能 否 由 加 密 时 采用 的 加 密 密 钥 推 导出 来 。 在 DES 加 密 过程 中 采用 
的 是 一 系列 古典 加 密 的 算法 中 的 置换 、 异 或 加 密 、 代 替 等 方法 经 过 16 轮 变换 后 得 到 加 密 的 
结果 ,解密 的 过 程 是 加 密 的 逆 过 程 。 

RSA 是 一 种 经 典 的 反对 称 加 密 算法 , 它 的 加 密 过 程 涉 及 大 数 的 素数 分 解 运算 。 到 目前 
为 止 ,还 没有 找到 一 种 有 效 的 方法 ,能 够 在 短 时 间 内 将 一 个 给 定 的 大 数 分 解 成 两 个 素数 的 乘 
积 。 因 而 可 以 利用 这 种 数学 难题 设计 出 解密 密 钥 和 加 密 密 钥 ,而 且 很 难 从 解密 密 钥 推 出 加 
密 密 钥 。 这 个 算法 的 优势 在 于 其 安全 性 得 到 了 数学 上 NP 问题 的 保证 ,具有 一 定 的 数学 基 
础 。 与 传统 的 对 称 密码 算法 相 比 ,RSA 具有 两 个 明显 的 优势 ,首先 它 为 实现 数字 签名 和 认 
证 提供 了 手段 ,而 DES 无 法 实现 这 一 功能 ; 其 次 ,在 一 个 具有 N 个 节点 的 网 络 中 ,DES 算 
法 进行 数据 加 密 时 ,需要 使 用 NCN 一 1)/2 对 密 钥 ,而 用 RSA 算法 进行 加 密 时 ,只 需要 N 对 
密 钥 ,从 而 大 大 减轻 了 密 钥 分 配 和 管理 的 工作 量 。 

3. 实验 环境 

一 台 安 装 Windows 2000/XP 的 PC,Visual C++ 或 Win-TC 开发 环境 。 

4. 实验 内 容 和 步骤 

(1) 从 服务 器 下 载 DES 示例 程序 并 执行 ,输入 明文 、 密 钥 、 密 文 进行 加 密 和 解密 ,可 以 
观察 采用 不 同 的 密 钥 进行 加 密 和 解密 后 的 结果 情况 ,如 图 A. 1 所 示 , 并 仔细 阅读 DES 实现 
的 源 代码 。 

(2) 从 服务 器 下 载 RSA 示例 程序 并 执行 ,通过 生成 随机 数 、 寻 找 素数 .最 后 形成 密 钥 
对 ,可 以 实现 对 明文 和 密 文 的 加 密 和 解密 ,如 图 A.2 所 示 , 比 较 对 称 加 密 和 非 对 称 加 密 在 密 
钥 上 的 差别 ,以 及 解密 的 安全 性 。 在 该 实现 中 ,不 能 对 生成 的 密 钥 进行 复制 粘贴 ,请 修改 和 
完善 RSA 源 程 序 , 使 加 密 、 解 密 过 程 更 便捷 ,用 C 语言 开发 一 个 RSA 加 密 /解密 演示 系统 。 

从 这 个 实验 可 以 看 出 ,DES 对 于 大 规模 的 数据 加 密 速 度 明 显 快 于 RSA, 但 从 安全 上 来 
讲 ,RSA 的 安全 性 会 优 于 DES。 
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DES 加 /解密 示例 
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图 A.2 RSA 加 密 和 解密 示例 
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实验 2 Windows 口令 破解 与 安全 


1. 实验 目的 

通过 密码 破解 工具 的 使 用 ,了 解 远程 和 本 地 破解 系统 密码 的 方法 ,了 解 利用 LOphtCrack、 
OphCrack .PwDump 等 工具 软件 破解 系统 口令 的 方法 、 提 高 密码 账号 的 保护 意识 。 

2. 实验 原理 

口令 密码 应 该 说 是 用 户 最 重要 的 一 道 防护 门 ,如 果 密 码 被 破解 了 ,那么 用 户 的 信息 将 很 
容易 被 窃取 。 随 着 网 络 黑 客 攻击 技术 的 增强 和 提高 ,许多 口令 都 可 能 被 攻击 和 破译 ,这 就 要 
求 用 户 提高 对 口令 安全 的 认识 。 

Windows Hash 由 两 部 分 组 成 ,分 别 是 LM Hash 和 NT Hash。Windows 系统 关于 
Hash 的 组 成 如 下 。 

用 户 名 称 : 'RID: LM-Hash 值 : NT-Hash 值 ' 

1) LM Hash 生成 规则 

(1) 用 户 的 密码 被 限制 为 最 多 14 个 字符 。 

(2) 用 户 的 密码 转换 为 大 写 。 

(3) 系统 中 用 户 的 密码 编码 使 用 了 OEM 内 码 页 。 

(4) 密码 不 足 14 字 节 将 会 用 0 来 补 全 。 

(5) 固定 长 度 的 密码 被 分 成 两 个 7 字 节 部 分 。 每 部 分 转换 成 比特 流 , 在 每 个 7 字 节 为 
一 组 的 末尾 加 0, 组 成 新 的 编码 。 

(6) 以 上 步骤 得 到 的 两 组 8 字 节 数据 ,分 别 用 DES 密 钥 为 “KGS!1@ # $ %” 进 行 加 密 。 

(7) 将 两 组 DES 加 密 后 的 编码 拼接 起 来 ,得 到 最 终 LM Hash 值 。 

2) NT Hash 生成 原理 

假设 明文 口令 是 “123456”, 首 先 转 换 成 Unicode 字符 串 .与 LM Hash 算法 不 同 ,这 次 
不 需要 添加 0 补足 14 字 节 。 


"123456" -> 310032003300340035003600 


从 ASCII 串 转 换 成 Unicode 串 时 ,使 用 little-endian 序 , 微 软 在 设计 整个 SMB 协议 时 
没有 考虑 big-endian 序 。0x80 之 前 的 标准 ASCII 码 转 换 成 Unicode 码 , 就 是 简单 地 从 
“0x?3” 变 成 “0x00??”。 此 类 标准 ASCII 串 按 little-endian 序 转换 成 Unicode 串 ,就 是 简单 
地 在 原 有 每 个 字 节 之 后 添加 0x00。 对 所 获取 的 Unicode 串 进 行 标准 MD4 单 向 哈 希 ,无论 
数据 源 有 多 少 字 节 ,MD4 固定 产生 128 位 的 哈 希 值 ,16 字 节 “310032003300340035003600” 
进行 标准 MD4 单 向 哈 希 * 一 > 32ED87BDB5FDC5E9 CBA88547376818D4”, 就 得 到 了 最 后 
的 NTLM Hash。 

NTLM Hash: 32ED87BDB5FDC5E9CBA88547376818D4 

一 般 入 侵 者 可 以 通过 下 面 几 种 方法 获取 用 户 的 密码 口令 ,包括 口令 扫描 、Sniffer 密码 
嗅 探 \ 暴 力 破 解 ,社会 工程 学 ( 即 通 过 欺诈 手段 获取 ) ,以 及 木马 程序 或 键盘 记录 程序 等 手段 。 

系统 用 户 账号 密码 的 破解 主要 是 基于 密码 匹配 的 破解 方法 ,最 基本 的 方法 有 两 个 , 即 穷 
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举 法 和 字典 法 。 穷 举 法 是 效率 最 低 的 一 种 ,将 字符 或 数字 按照 穷 举 的 规则 生成 口令 字符 串 ， 
进行 遍历 尝试 。 在 密码 稍微 复杂 的 情况 下 , 穷 举 法 的 破解 速度 很 慢 。 字 典 法 相对 来 说 较 高 ， 
它 用 口令 字典 中 事先 定义 好 的 常用 字符 串 去 尝试 匹配 口令 。 口 令 字典 是 一 个 很 大 的 文本 文 
件 , 可 以 通过 自己 编辑 或 由 字典 工具 生成 ,里 面包 含 了 单词 或 数字 的 组 合 。 如 果 密 码 是 一 个 
单词 或 简单 的 数字 组 合 , 那 么 破解 者 就 可 以 很 轻易 地 破解 该 密码 。 

常用 的 密码 破解 工具 和 审核 工具 很 多 ,如 Windows 平台 口令 的 LOphtCrack、 
OphCrack、SAMInside 等 。 通 过 这 些 工 具 的 使 用 ,可 以 了 解 口令 的 安全 性 。 

3. 实验 环境 

一 台 装 有 Windows 2000/XP 系统 的 计算 机 ,已 经 安装 好 LOphtCrack6、OphCrack、 
SAMInside 等 密码 破解 工具 。 

4. 实验 内 容 和 步骤 

任务 一 PwDump 导出 SAM 值 

步骤 1: 事先 在 主机 内 建立 用 户 名 test, 密码 分 别 设置 为 空 密 码 、123123、 security、 
security123 进行 测试 。 

步骤 2: 从 服务 器 下 载 QuarksPwDump. exe, 打开 cmd 命令 行 ,在 DOS 下 运行 
QuarksPwDump. exe。 输 入 *QuarksPwDump --dump-hash-local”。 

步骤 3: 右键 标记 当前 用 户 表 的 Hash 值 ,复制 到 文本 文件 中 并 保存 。 

任务 二 “使 用 LOphtCrack6 破解 密码 

LOphtCrack6 (简写 LC6) 是 LOphtCrack 组 织 开发 的 Windows 平台 口令 审核 的 程序 的 
新 版 本 , 它 提供 了 和 审核 Windows 账号 的 功能 ,以 提高 系统 的 安全 性 。 另 外 ,LC6 也 被 一 些 非 
法 和 人 侵 者 用 来 破解 Windows 用 户口 令 , 给 用 户 的 网 络 安 全 造成 很 大 的 威胁 。 所 以 了 解 LC6 
的 使 用 方法 ,可 以 避免 使 用 不 安全 的 密码 ,从 而 提高 用 户 本 身 系 统 的 安全 性 。 

在 Windows 操作 系统 中 ,用 户 账号 的 管理 使 用 了 安全 账号 管理 器 (Securiy Account 
Manager,SAM) 机 制 ,用户 和 口令 经 过 Hash 变换 后 以 Hash 列表 的 形式 存放 在 
%SystemRoot%\System32\config 下 的 SAM 文件 中 。LC6 是 通过 破解 这 个 SAM 文件 来 
获得 用 户 名 和 密码 的 。LC6 可 以 从 本 地 系统 、 其 他 文件 系统 、 系 统 备 份 和 文本 文件 中 获得 
SAM 文件 ,从 而 破解 出 口令 。 

步骤 1: 从 服务 器 下 载 并 安装 LC6 ,打开 导入 中 的 “从 pwdump 文件 导入 ”( 或 者 从 SAM 
文件 导入 ) 选 项 ,选择 存放 Hash 值 的 文档 ,LC6 导入 Hash 界面 如 图 A. 3 所 示 。 

步骤 2: 单 击 “ 开 始 破解 "按钮 ,开始 破解 。 

步骤 3: 使 用 LC6 的 向 导 ,分别 对 上 述 密码 设置 进行 破解 。 对 结果 分 别 进行 截图 ,记录 
破解 时 间 ,并 加 上 相关 说 明 。 

任务 三 ”使 用 字典 破解 

步骤 1: 从 任务 1 获得 PwDump 哈 希 文本 或 SAM 文件。 

步骤 2: 打开 LC6 主 界面 ,根据 已 经 获取 的 是 PwDump 喻 希 文 本 还 是 SAM 文件 ,分 别 
选择 不 同 的 导入 方式 导入 信息 。 

步骤 3: 单 击 Session Options 菜单 项 ,在 弹出 的 界面 中 选择 “破解 密码 字典 ”选项 如 
图 A.4 所 示 。 
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图 A.3 LC6 导入 Hash 界面 
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图 A.4 选择 字典 文件 


步骤 4: 单 击 “ 开 始 ”按钮 进行 破解 。 

可 以 看 到 ,复杂 口令 破解 速度 虽 慢 ,但 还 是 把 比较 复杂 的 口令 security123 破解 出 来 了 。 
其 实 可 以 设置 更 加 复杂 的 口令 ,采用 更 加 复杂 的 自 定 义 口 令 破 解 模式 (字典 模式 ) ,方法 为 : 
在 向 导 的 “选择 审核 方法 (Choose Auditing Method)” 时 选择 Custom 选项 ,并 在 “ 自 定义 破 
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解 选项 (Custom Audit Option) ”对话 框 中 选中 所 有 复 选 框 。 

运用 字典 攻击 对 用 户 名 test, 密 码 分 别 设置 为 空 密码 、123123、security、security123 进 
行 测 试 , 对 结果 分 别 截图 ,并 加 上 相关 说 明 。 

注意 : 在 某 些 打 过 补丁 的 Windows XP 系统 中 ,利用 LC6 从 导出 的 Hash 文件 可 能 不 
能 正常 破解 出 Windows 密码 ,这 可 能 是 因为 Windows XP 对 相关 漏洞 进行 了 修补 ,对 SAM 
文件 做 了 一 些 加 密 处 理 的 原因 ,这 种 情况 下 建议 选择 其 他 的 工具 进行 破解 。 

任务 四 使 用 SAMInside 破解 Windows 密码 

使 用 SAMInside 对 复制 的 SAM 文件 进行 破解 。 并 对 破解 过 程 进行 截图 ,并 加 上 相关 
说 明 。 

在 Windows 中 分 别 用 了 LM Hash 和 NTLM Hash 对 密码 进行 了 加 密 , 所 以 抓 取 任意 
一 个 Hash 都 可 以 破解 密码 ,只 不 过 如 果 两 个 Hash 都 可 以 抓 到 ,密码 的 破译 成 功率 会 大 大 
提升 。SAMInside 可 以 直接 抓 取 Windows Hash ,还 可 以 导入 存储 Windows Hash 的 SAM 
等 文件 获取 Hash 值 。 

在 Windows XP、Windows Server 2003 之 前 的 系统 都 可 以 通过 工具 抓 取 到 完整 的 LM 
Hash 和 NT Hash 的 。 这 样 就 可 以 直接 通过 在 线 的 破译 网 站 进行 密码 破解 。 

但 是 之 后 的 系统 可 以 改变 一 些 设置 让 操作 系统 存储 LM Hash 值 到 SAM 文件 中 。 

步骤 1: 导入 本 地 的 用 户 Hash 值 。SAMInside 导入 本 地 SAM, 如 图 A.5 所 示 。 


File Edit View Tools Audit Service ? 













Import Local Users via LSASS 


reer te eers vo Seredar | 








图 A.5 SAMInside 导入 本 地 SAM 


也 可 以 直接 导入 本 地 由 任务 一 已 经 PwDump 出 来 的 哈 希 文档 ,如 图 A. 6 所 示 。 


ile Hit Vi Tools Andit Service 了 


加 et sw mi srsrm Rotistry Files .Curl 
Tnport SMI Ragistry wnd STSIET Eile 












Tmport Locsl Vsers vis LS 
Tnport Leed Vsers vis Schaduler 





Tnport fron FIDW Tile 
Inport Erom * [ET Pile 
Inport Erom # LCE File 
Inport from * LCS Pile 
Tmport from + LF Fils, 
Inport fro + IST pile 





Tnport Ukashes from #. TIT file 
Inport ET-Nashes Go + TXT File 











图 A.6 SAMInside 导入 PwDump 导出 过 的 SAM 文件 


342 计算 机 信息 安全 技术 (第 2 版 ) 





步骤 2: 选中 要 破解 的 账户 , 单 击 Audit 菜单 项 ,依次 选中 NT-Hash Attack 和 Dictionary 
Attack 复 选 框 ,如 图 A.7 所 示 。 



















外 -| 人 和 儿 | 旺 | 


User NT-Password LM-Hash 


Continue Attack 













































































es 
回 administrator LM-Hash Attack “Empty> 0000000000000 
局 Guest T-Hash At k <Disabled> D0000000000000 
局 | Helpassistant 加 NT-Hash Atad 2 ?7777??7??7777? CFC1D4486DDE 
l¥] SUPPORT_388945a0 Brute-force Attack 237377777777777 0000000000000 
frock Didionary Attadk 1234 B757BF5C0D87” 
test ed abcd El65F0192EF85I 
中 | testl ?777?77 DFBD0098E0DE 
Pre-calculated Tables Attack 

4 mn ; 
Users: 7, Passwords found: 4 (57.14%). Current password: 


图 A.7 SAMInside 破解 设置 


步骤 3: 选择 Tools 菜单 下 的 Options 选项 ,导入 密码 字典 ,如 图 A. 8 所 示 。 












Delete | 









Dictionary Atack 
Hybrid Attack BEE) | 
Character Replacement 

Mask Attack CE | 


Pre-calculated Tables Attack 
Ce 








图 A.8 导入 密码 字典 


步 又 4: 单 击 “ 开 始 ” 按 钮 进行 密码 破解 。 

任务 五 ”使 用 OphCrack 和 彩虹 表 进 行 口令 破解 

步骤 1: 从 服务 器 上 下 载 OphCrack 并 安装 XP free small 彩虹 表 ,如 图 A. 9 所 示 。 

步骤 2: 单 击 Load 菜单 项 ,选择 PWDUMP file 选项 或 从 本 地 SAM 文件 装载 哈 希 文本 
信息 ,如 图 A. 10 所 示 。 

步骤 3: 单 击 Crack 按钮 开始 进行 破解 。 可 以 发 现 ,能 找到 3 个 密码 ,另外 一 个 不 能 找 
到 ,破解 结果 界面 示例 如 图 A. 11 所 示 。 这 种 情况 可 以 通过 使 用 更 大 的 彩虹 表 实 现 更 复杂 
的 口令 破解 。 
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ph mn Me de | 
GS 
中 DODD 寺 四 才 Oa © 
Load Delete Save Tables Crack Help Exit About 
Progress Eb 
ver Table Directory Status | Nr pwd 
a ®@ Xp free fast not installed 
» [® XP free small [CAProgram Files\opherack\. on disk 
® yp special not installed 
® yp german-. notinstalled 
® Xp germar not installed 
® Vista sped not installed 
® Vista free not installed 
® Vista nine not installed 
® Vista eight notinstalled 
® Vista num not installed 
Ee ® Vista seven not installed 
-一 一 一 一 ® ypflash not installed 
rexw @ Vie ainbe ail 1 




















图 A.9 OphCrack 安装 彩虹 表 








PWDUMP file 

Session file 

Encrypted SAM 

Local SAM with samdump2 
Local SAM with pwdump6 
Remote SAM 





NT Hash LIMPwd1 LM pwd 2 NT Pwd 











Directory Status Progress 
Caprogram Files\ophcr... on disk [ ] 

















图 A. 10 ”装载 需要 破解 的 SAM 文件 




















testl B3E4FA1EE48F9643698-… notfound 
test 0CB6948805F797BF2A8... test 
Guest 31D6CFE0D16AE931B7-… empty 
fyg 31D6CFEOD16AE931B7... empty 
Table Directory Status Progress 
» B® Xp free small | CAProgram Files\opher.. on disk 











BR 























Prelosd: done Brate force; done Prd fomnd 314 Tine elapsed Oh ln 10s 





图 A.11 破解 结果 
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5. 实验 报告 要 求 
从 任务 一 到 任务 五 ,要 求 根 据 给 定 的 实验 步骤 ,给 出 每 一 步 实验 结果 的 截图 和 详细 说 
明 , 要 求 每 个 人 的 截图 要 有 自己 的 独立 特征 。 


实验 3 网 络 嗅 探 与 欺骗 


1. 实验 目的 

通过 利用 WireShark 等 网 络 抓 包 工具 抓 取 网 上 传输 的 敏感 信息 ,了 解 网 络 嗅 探 的 原 
理 ,协议 封装 的 过 程 、. 典 型 嗅 探 工具 的 使 用 ; 了 解 获 得 网 络 传输 过 程 中 的 敏感 数据 的 方法 。 

2. 实验 原理 

FTP 是 文件 传输 的 一 个 协议 ,基于 不 同 的 操作 系统 ,有 不 同 的 FTP 应 用 程序 ,而 这 些 
应 用 程序 都 遵守 同一 种 协议 以 传输 文件 。 

Telnet 是 通常 网 络 连接 所 采用 的 一 种 协议 ,通常 采用 明文 进行 数据 传输 ,可 以 通过 嗅 
探 的 方式 捕获 传输 过 程 中 的 用 户 名 和 密码 。 

WireShark 是 一 个 网 络 封包 分 析 软 件 , 它 的 主要 功能 是 皂 取 网 络 封包 ,并 尽 可 能 地 显示 
出 最 为 详细 的 网 络 封包 资料 。WireShark 使 用 Winpcap 作为 接口 ,直接 与 网 卡 进行 数据 报 
文 交换 。 

3. 实验 环境 

两 台 相 邻 的 联网 计算 机 ,拓扑 结构 如 图 A. 12 所 示 。 


Sy 


操作 机 :192.168.1.2 目标 机 :192.168.1.3 
图 A.12 实验 环境 设置 





4. 实验 内 容 和 任务 

任务 一 ”利用 WireShark 获取 FTP 传输 协议 中 的 敏感 信息 

步骤 1: 从 服务 器 下 载 WireShark1. 12 并 进行 安装 。 在 Capture 菜单 中 设置 抓 包 相关 
参数 。 在 Interfaces 选项 中 可 以 选择 可 操作 的 网 络 适配器 ; 通过 Options 选项 设置 抓 包 模 
式 , 过 滤器 、 数 据 包 限制 字 节 、 存 档 文件 模式 、 停 止 规 则 、 名 称 解析 等 参数 (可 以 设置 过 滤 参 
数 , 如 not tcp port 3389 ,表示 不 查看 端口 3389 的 抓 包 。 其 他 过 滤 设 置 请 参考 相关 文档 ) 。 
然后 单 击 “ 开 始 ” 按 钮 进行 捕获 数据 包 , 如 图 A. 13 所 示 。 

步骤 2: WireShark 下 数据 包 的 解析 。 

Ethernet 的 帧 结构 为 目的 MAC 地 址 十 源 MAC 地 址 十 上 层 协议 类 型 十 数据 字段 十 校 
验 位 。WireShark 利用 树 形 结构 显示 协议 如 下 。 

第 一 行为 WireShark 添加 的 该 帧 的 相关 统计 信息 ,包括 捕获 时 间 、 编 号 、 帧 长 度 、 帧 中 
所 含有 的 协议 等 信息 ,具体 如 图 A. 14 和 图 A. 15 所 示 。 
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Hide capture info dialog 
megabytels) 





Nextfileevery [1 






































口 Netfileevey [1 minute(s) -| Name Resolution 
口 Ring buffer with |2 fies Resolve MAC addresses 
EF ee Resolve network-layer names 
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图 A.13 WireShark 抓 包 设置 


Luus -Laoruayau /O34 e4dy icr M94 OVILL1Y La >ed=oas ~ 
一 

田 Frame 1000: 1494 bytes on wire (11952 bits), 1494 bytes captured (11952 bits) on interface 
田 Ethernet II, Src: Tp-LinkT_b9:6a:38 (80:89:17:b9:6a:38), Dst: Intelcor_89:cc:2c (74:e5:0b: 
田 Internet Protocol Version 4, Src: 78.35.24.46 (78.35.24.46), Dst: 192.168.0.101 (192.168.0. 
田 Transmission Control Protoco1，Src Port: 80 (80), Dst Port: 51173 (51173), Seq: 836641, Ack 














A 上 


图 A.14 数据 包 内 容 结构 











Interface 1d: 1 (\Device\NPF_{ED23981E-2E7B-44E4 

| Encapsulation type: Ethernet (1) 
Arriyal Time: May 16, 2016 16:43:51.205459000 JIPIOIDID 
Crinlgshirt for this packet: 0.000000000 seconds] 
Epoch Time: 1463388231.205459000 seconds 
[Time delta from previous caprured frame: 0.000637000 seconds] 
[Time delta from previous displayed frame: 0.000637000 seconds] 
[Time since reference or first frame: 13.655328000 seconds] 
Frame Number: 1000 
Frame Length: 1494 bytes (11952 bits) 
Capture Lengrh: 1494 byres (11952 bits) 

[Frame 1s marked: False] 

[Frame 1s ignored: False] 

[Protocols in frame: eth:ethertype:ip:tcp:http:data] 

[coloring Rule Name: HTTP] 

[coloring Rule string: http || tcp.port == 80 || http2] 


图 A.15 数据 包 统计 信息 


bytes captured 
-899F-~2EED5AEA1855]) 
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二 行为 链 路 层 信 息 , 包 括 目的 MAC 地 址 、 源 MAC 地 址 .上 层 协议 类 型 等 ,如 图 A. 16 
所 示 。 



















Frame 1000: 1494 bytes on wire (11952 bits), 1494 bytes captured (11952 bits) on interface 1 
ls Ethernet II, Src: Tp-LinkT_b9:6a:38 (80: :6a:38), Dst: IntelCor_89:ce:2c (74:e5:0b:89:cc:2c) 
困 Destination: Intelcor_89:cc:2c (74:e5:0b c:20c) 
国 source: Tp-LinkT_b9:6a:38 (80:89:17:b9:6a:38) 
TypefNIP_〔C0x08007 








图 A.16 数据 包 链 路 层 信息 


第 三 行为 网 络 层 信息 ,此 处 为 IP 协议 ,包括 版 本 、 头 部 长 度 、 总 长 度 ,标志 位 、 源 /目的 
IP 地 址 、 上 层 协 议 等 ,如 图 A. 17 所 示 。 








Frame 1000: 1494 bytes on wire (11952 bits), 1404 bytes captured (11952 bits) on interface 1 

‖ 昌 Ethernet II，Src: Tp-LinkT_b9:6a:38 (80:89:17:b9:6a:38), Dst: IntelCor_89:cc:2¢ (74:e5:0b:89:cc:2c) 

日 Internet Proroco]l Version 4, Src: 78.35.24.46 (78.35.24.46), Dst: 192.168.0.101 (192.168.0.101) 
Version: 4 


Header Length: 20 bytes 


@ Differentiated services Field: Ox88 (DSCP Ox22: Assured Forwarding 41; ECN: Ox00: Nor-ECT (Not ECN-Capablt 
Total Length: 1480 


Idenrification: 0xf030 (61488) 

国 Flags: Ox02 (pon't Fragment) 
Fragment offset: 0 
TimfAro 1ive: 49 
ProtBécol: Tcp (6) 

@ Header checksum: Ox2c19 [validarion disabled] 
Source: 78.35.24.46 (78.35.24.46) 
Destination: 192.168.0.101 (192.168.0.101) 
[source GeoIP: unknown] 

[Destination GeoIP: Unknown] 


图 A.17 数据 包 IP 协议 信息 


第 四 行为 传输 层 信息 ,包括 源 /目的 端口 序列 号 ,期望 的 下 个 序列 号 ,确认 号 、 头 部 长 
度 、 标 志 位 、 窗 口 长 度 、 校 验 和 等 ,如 图 A. 18 所 示 。 


田 Frame 1000: 1494 bytes on wire (11952 bits), 1494 bytes captured (11952 bits) on interface 1 
田 Ethernet II, Src: Tp-LinkT_b9:6a:38 (80:89:17:b9:6a:38), Dst: IntelCor_89:cc;2c (74:e5:0b:89; 
由 Internet Protocol Version 4, Src: 78.35.24.46 (78.35.24.46), Dst: 192.168.0.101 (192.168.0.1C 


日 Transmission Control Protocol, Src Port: 80 (80), Dst Port: 51173 (51173), Seq: 836641, Ack: 
Source Port: 80 (80) 


Destination Port: 51173 (51173) 
[stream index: 0] 
[TcP Segment Len: 1440] 





Sequence number: 836641 (relative sequence number) 
[Next sequence number: 838081 (relative sequence number)] 
Acknowledgment number: 1 (relative ack number) 


Header Length: 20 bytes 
国 ...。 0000 0001 0000 = Flags: Ox010 (CACK) 
window size value: 237 
[calculated window size: 237] 
[window size scaling factor: -1 Cunknown)] 
Checksum: Ox5205 [validation disabled] 
Urgent pointer: 0 
国 [SEQ/ACK analysis] 


图 A.18 数据 包 传输 层 信息 

第 五 行为 应 用 层 信 息 , 内 容 由 具体 的 应 用 层 协议 决定 ,此 处 为 HTTP 协议 ,显示 的 是 响 
应 内 容 ,如 图 A. 19 所 示 。 

步骤 3: 单 击 “Start” 按 钮 开始 抓 包 。 


步骤 4: 在 地 址 栏 中 输入 “ftp: //210. 34. 148. 51”, 默 认 账号 是 用 户 名 test, 密 码 test。 
步骤 5: 在 WireShark 界面 中 ,找到 登录 账号 (test) 和 密码 (test) 。 
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男 Frame 54: 638 bytes on wire (5104 bits), 638 bytes captured (5104 bits) on interface 1 

田 Ethernet II，Src: IntelCcor_89:cc:2cC (74: b:89:cc:2c), Dst: Tp-LinkT_b9:6a:38 (80:89:17:b9:6 
国 Internet Protocol Version 4, src: 192.168.0.101 (192.168.0.101), Dst: 119.29.189.211 (119.29.1 
田 Transmission Control Protoco]l, src por 3117 (53117), Dst Port: 80 (80), seq: 1, Ack: 1, Len 
E Hypertext Transfer Protoco 


















Host: www.41443.com\r\n 
User-Agent : Mozi1la/5.0 (windows NT 6.1; rv:46.0) Gecko/20100101 Firefox/46.0\r\n 
Accept: */*\r\n 

Accept -Language: zh-CN,zh;q=0.8,en-Us;q=0.5,en;q=0.3\r\n 

Accept-Encoding: gzip, deflate\r\n 
x-Requested-with: XMLHttpRequest\r\n 
Referer: http://www.41443.com/HTML/jiamiji 
Cookie: PHPSESSID=p3h1v9ulj5rcksq69rumul173 
connection: keep-alive\r\n 

run 

[Fy1]1 request URI: htrp://www.41443. 
[HTTP request 1/1] 

[Response in frame: 55] 


1/20150706/383428_2.html\r\n 
AJSTAT_Ok_times=1; CNZZDATA5809042=cnzz_eid%3D 











/Plugins/run. php?action=robor&r=0.443470541737278B6& = 





A.19 数据 包 应 用 层 信息 


任务 二 “利用 WireShark 获取 Telnet 传输 协议 中 的 敏感 信息 

利用 Telnet 明文 传输 特性 ,捕获 用 户 名 和 密码 。 

步骤 1: 在 本 地 计算 机 上 打开 WireShark 工具 软件 ,并 开启 数据 抓 包 模式 。 

步骤 2: 在 命令 行 模式 下 ,输入 "Telnet” 命 令 , 进 入 Telnet 模式 。 然 后 输入 “open 192. 
168. 1. 3”。Telnet 登录 界面 如 图 A. 20 所 示 。 


站 Internet 区 





A.20 Telnet 登录 界面 


步 又 3: 输入 *N”, 继 续 进 行 ,进入 Telnet 服务 。 然 后 输入 用 户 名 和 密码 (Simplexue123)， 
密码 不 回 显 。 按 Enter 键 , 即 可 远程 连接 到 被 攻击 主机 。 输 入 “ipconfig” 命 令 即 可 查看 IP 等 
息 ,如 图 A. 21 所 示 。 





Telnet 192 





图 A.21 Telnet 登录 到 被 攻击 主机 界面 


步骤 4: 数据 传输 过 程 分 析 。 

完成 Telnet 连接 过 程 后 ,停止 数据 抓 包 , 查 看 WireShark 中 抓 到 的 此 次 过 程 中 各 个 数 
据 包 。 通 过 检查 通信 的 Telnet 数据 包 , 可 以 找到 刚才 登录 过 程 中 的 用 户 名 和 密码 数据 信息 
(如 果 数 据 包 信息 过 多 ,可 以 选择 过 滤 ,只 查看 Telnet 数据 包 ) 。 





348 计算 机 信息 安全 技术 (第 2 版 ) 





5. 实验 报告 要 求 
对 任务 一 和 任务 二 ,要 求 根据 给 定 的 实验 步骤 ,给 出 每 一 步 实 验 结果 的 截图 ,要 求 每 个 
人 的 截图 要 有 自己 的 独立 特征 。 


实验 4 网 络 攻击 与 防范 


1. 实验 目的 

通过 对 DoS 攻击 、SYN 攻击 的 过 程 , 了 解 网 络 攻击 的 一 般 原 理 和 方法 ,加 强 对 网 络 攻 
击 的 防范 意识 。 了 解 扫描 的 概念 ,能 应 用 工具 对 主机 漏洞 进行 扫描 。 

2. 实验 原理 

1) DoS 攻击 的 原理 

拒绝 服务 (DoS) 攻 击 利 用 系统 或 协议 的 缺陷 ,采用 欺骗 的 策略 进行 网 络 攻击 ,目的 是 使 目 
标 主 机 因为 资源 全 部 被 占用 而 不 能 处 理 合法 用 户 提 出 的 请 求 , 即 对 外 表现 为 拒绝 提供 服务 。 

常见 的 DoS 攻击 方法 有 以 下 几 种 。 

(1) Synflood: 该 攻击 以 多 个 随机 的 源 主机 地 址 向 目的 主机 发 送 SYN 包 , 而 在 收 到 目 
的 主机 的 SYN ACK 后 并 不 回应 ,这 样 ,目的 主机 就 为 这 些 源 主机 建立 了 大 量 的 连接 队列 ， 
而 且 由 于 没有 收 到 ACK 一 直 维 护 着 这 些 队列 ,造成 了 资源 的 大 量 消 耗 而 不 能 向 正常 请 求 
提供 服务 。 

(2) Land-based: 攻击 者 将 一 个 包 的 源 地 址 和 目的 地 址 都 设置 为 目标 主机 的 地 址 ,然后 
将 该 包 通 过 IP 欺骗 的 方式 发 送 给 被 攻击 主机 ,被 攻击 主机 与 自己 建立 空 连接 并 保留 连接 ， 
从 而 很 大 程度 地 降低 了 系统 性 能 。 

(3) UDP 洪水 (UDP flood) : Echo 服务 会 显示 接收 到 的 每 一 个 数据 包 , 而 Chargen 服 
务 会 在 收 到 每 一 个 数据 包 时 随机 反馈 一 些 字符 。UDP flood 假冒 攻击 就 是 利用 这 两 个 简单 
的 TCP/IP 服务 的 漏洞 进行 恶意 攻击 ,通过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 的 
UDP 连接 ,回复 地 址 指向 开启 Echo 服务 的 一 台 主 机 ,通过 将 Chargen 和 Echo 服务 互 指 , 来 
回 传送 毫 无 用 处 且 占 满 带 宽 的 垃圾 数据 ,在 两 台 主 机 之 间 生 成 足够 多 的 无 用 数据 流 ,这 一 拒 
绝 服务 攻击 快速 地 导致 网 络 可 用 带宽 耗 尽 。 

(4) Smurf .UDP-Flood、 Teardrop PingSweep、Pingflood、Ping of Death 等 。 

2) DDoS 的 原理 

分 布 式 拒绝 服务 (DDoS) 是 基于 DoS 攻击 的 一 种 特殊 形式 。 攻 击 者 将 多 台 受 控制 的 计 
算 机 联合 起 来 向 目标 计算 机 发 起 DoS 攻击 。 

DDoS 攻击 分 为 3 层 : 攻击 者 、 主 控 端 ,代理 端 。 

@ 攻击 者 。 攻 击 者 所 用 的 计算 机 是 攻击 主 控 台 ,攻击 者 操纵 整个 攻击 过 程 , 它 向 主 控 
端 发 送 攻 击 命令 。 

@ 主 控 端 。 主 控 端 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ,这 些 主机 还 分 别 控制 大 量 的 
代理 主机 。 主 控 端 主机 的 上 面 安装 了 特定 的 程序 ,因此 它们 可 以 接受 攻击 者 发 来 的 特殊 指 
令 , 并 且 可 以 把 这 些 命令 发 送 到 代理 主机 上 。 
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@ 代理 端 。 代 理 端 同样 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ,它们 上 面 运 行 攻击 者 程序 ， 
接受 和 运行 主 控 端 发 来 的 命令 。 代 理 端 主机 是 攻击 的 执行 者 ,真正 向 受害 者 主机 发 送 攻击 。 

攻击 者 发 起 DDoS 攻击 的 第 一 步 .就 是 寻找 在 Internet 上 有 漏洞 的 主机 ,进入 系统 后 在 
其 上 面 安装 后 门 程序 ,攻击 者 入侵 的 主机 越 多 ,他 的 攻击 队伍 就 越 壮大 。 第 二 步 是 在 人 侵 主 
机 上 安装 攻击 程序 ,其 中 一 部 分 主机 充当 攻击 的 主 控 端 , 男 一 部 分 主机 充当 攻击 的 代理 端 。 
最 后 各 部 分 主机 各 司 其 职 , 在 攻击 者 的 调 遗 下 对 攻击 对 象 发 起 攻击 。 

3) 缓冲 区 溢出 原理 

缓冲 区 是 内 存 中 存放 数据 的 地 方 。 在 程序 试图 将 数据 放 到 计算 机 内 存 中 的 某 一 位 置 ， 
但 没有 足够 空间 时 会 发 生 缓 冲 区 溢出 。 

缓冲 区 溢出 指 的 是 一 种 系统 攻击 的 手段 ,通过 往 程 序 的 缓冲 区 写 超 出 其 长 度 的 内 容 , 造 
成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 














3. 实验 环境 实验 拓扑 图 
实验 环境 中 要 求 如 图 A. 22 所 示 的 网 络 拓扑 。 
4. 实验 内 容 和 任务 1P:192.168.1.1 


任务 一 ”对 本 机 进行 漏洞 扫描 

X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 
(或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 , 提 IP:192.168.1.2 men 
供 了 图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 ~ 
包括 : 远程 操作 系统 类 型 及 版 本 ,标准 端口 状态 图 A.22 实验 环境 设置 
及 端口 Banner 信息 ,CGI 漏洞 ,IIS 漏洞,RPC 漏 
洞 ,SQL-Server、FTP-Server\SMTP- Server 等 弱 口 令 用 户 等 。 扫 描 结果 保存 在 /log/ 目 录 
中 ,index_*. htm 为 扫描 结果 索引 文件 。 

步骤 1: 从 服务 器 下 载 X-Scan3. 3 并 进行 安装 。 

步骤 2: 设置 相关 参数 后 ,对 本 机 进行 扫描 ,给 出 扫描 的 结果 。 图 A. 23 所 示 为 X-Scan 
软件 扫描 漏洞 界面 。 








礁 X-Sscanv33GUL = 至 
[去 (WE 本 0fY， 埋 碍 0， 工具 Y)，Language 帮助 DD 一 一 
1G@l ml | 图 | 国 吉 | 回 

下 二 echoste Windows 页 6 计时 























oeslhe 
iv 

ecahe 诺 。 

pe a 0 


| \ Active/Maimum host thread: 1/10, CurrenyMaximum thread: 0/10 : 














图 A.23 X-Scan 软件 扫描 漏洞 界面 
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任务 二 ”fakeping 攻击 
步骤 1: 在 命令 行 模式 下 ,进入 Fakeping 目录 ,如 图 A. 24 所 示 , 输 入 以 下 命令 : 
Fakeping 192.168.1.3 192.168.1.1 100 


该 命令 用 于 在 操作 机 上 向 192. 168. 1. 1 发 送 伪装 ICMP 请 求 信息 ,请 求 信息 的 伪装 源 





地 址 为 193. 168. 1. 3。Fakeping 命令 格式 : Fakeping 伪装 源 目 的 地 址 数据 包 大 小 。 





图 A.24 fakeping 攻击 命令 


步骤 2: 在 目标 机 上 打开 WireShark 软件 ,监听 本 地 主机 上 的 ICMP 数据 包 , 并 设置 数 
据 包 过 滤 参 数 截取 的 攻击 数据 包 如 图 A. 25 所 示 。 


ETTITITTETTESROIUTIITTEEEINOREOTUEIIOITTT 








Ele Edt Yew Go Captre bnalyze Statstcs Telephony Jools Intemals Hesp 





司 间 着 痢 太 | 卫生 美雪 | 信和 人 争 旬 于 入 | 目 国 QQQ 四 | 如 加 ~ 


Filter; [ -| Expression,. Clr = 











No me 
2 0.00037100 192.168.1.3 192.168.1.1 ICMP 146 Echo (ping) recuest jds 
3 0.00051200192.168.1,3 192.168.1.1 ICMP 146 Echo (ping) request 1d。 
4 0.00065800 19IN168.1.3 192.168.1.1 ICMP 146 Echo (ping) request id: 
5 0.00079600 19wW168.1,3 192.168.1.1 ICMP 146 Echo (ping) request 1d 
6 0.00094600 192.168.1.3 192.168.1.1 ICMP 146 Echo Cping) request 1ds 
7 0.00105300 192,168,1,3 192.168, 工 ,1 ICMP 146 Echo (ping) request 41d» 
8 0.00370200 192.168.1,3 192.168.1.1 ICMP 145 Echo (ping) reqbest jd 
9 0.0044%400192.169.1,3 192.168.1.1 ICMP 146 Echo (ping) request id 
10 0.00461500 192.168.1.3 192.168.1.1 ICMP 146 Echo (ping) request 1d。 


图 A.25 截取 的 攻击 数据 包 


可 以 看 到 ,192.168.1.3 主机 在 没有 发 送 ICMP 请 求 的 情况 下 却 收 到 了 大 量 的 ICMP 
响应 数据 包 。 该 数据 包 即 为 192. 168. 1. 2 伪造 的 源 地 址 为 192. 168. 1. 3 发 给 192. 168. 1.1 
的 请 求 数据 包 的 响应 ICMP 数据 包 。 

任务 三 ”SYN 攻击 

步骤 1: 利用 xdos 工具 进行 攻击 。 

在 命令 行 下 打开 xdos 目录 ,输入 “xdos” 命 令 , 可 以 显示 xdos 命令 使 用 格式 。 

在 命令 行 下 输入 命令 : 

oa L192 108. T3135 = 证 55.55.5555 
其 中 ,135 为 端口 , -t3 表示 开启 的 进程 ,-s 后 面 的 IP 地 址 为 SYN 数据 包 伪装 的 源 地 址 的 起 
始 地 址 ,正在 对 本 地 发 送 SYN 数据 包 , 如 图 A. 26 和 图 A. 27 所 示 。 

步骤 2: 使 用 WireShark 软件 抓 取 SYN 数据 包 。 

在 目标 主机 使 用 WireShark 抓 包 , 可 以 看 到 大 量 的 SYN 数据 包 向 192. 168. 1. 3 主机 发 
送 ,并 且 源 地 址 均 为 55. 55. 55. 55 后 面 的 IP 地 址 ,如 图 A. 28 所 示 。 

5. 实验 报告 要 求 

对 任务 一 中 的 实验 内 容 给 出 对 本 机 进行 扫描 结果 截图 ; 给 出 任务 二 中 应 用 fakeping 进 
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行 攻击 的 结果 ,并 给 ; 
对 每 一 步 都 要 有 实验 结果 截图 。 





- 步 实验 结果 的 截图 ; 给 





任务 三 中 应 用 xdos 进行 攻击 的 结果 ， 


5 Adninis 


do 


Scope 


Start Port>[-<End PR 
] neans: 
Ccount): specify th 


ip> + specify so 


Exanple aydos ww con 39 


1(,Port1,Port? 


Toptions 


Fort3---.] 


count, de 


= 192.168.1.1 88.139 


傅 今 提 示 罕 ~ xdos 
soFt Vindovs 
权 所 有 1985 


[版 本 s 


tting 
N 玫 击 xdo 


Connand line do 


Scanning 192.168.1.3 135 


node: 
Port coune 
[rhead count 


168.1.3 135 





NB 


5 ~s 55.55.55.55 


798] 
2883 Microsoft ( 


wdninistratorycd C:\ 实 


全 et 典型 协 


Ee Edt Vew gp Capture pnahrze Statstcs Telephony Iooks Intemas He | 





介面 逢 国立 | 包 


Bx oF2 laadag ga -| 


Tilter 区 dst = 192, 168.1.3 -| Expression 




















四 ECherner II, Src: 


re 
52:54:99:67:62:3d (52:54: 


,55 bytes captured 
:67:62:3d), Dst: 52:54:23:2d:e0:4b (52:54:23:2 


@ Inrerner Prorocol Version 4, src: 10.81.158.180 (10.81.158.180), Dst: 192,168.1.3 (192.168, 
四 Transmission Control Protocol, Src Port: 52688 (52688), Dst Port: 5901 (5901), Seq: 1, Ack: 


A 


图 A.28 WireShark 抓 取 的 攻击 数据 包 示 例 
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实验 5 冰河 木马 的 攻击 与 防范 


1. 实验 目的 

通过 对 冰河 木马 的 练习 ,理解 和 掌握 木马 传播 和 运行 的 机 制 , 通 过 手动 删除 木马 ,掌握 
检查 木马 和 删除 木马 的 技巧 ,学 会 防御 木马 的 相关 知识 ,加 深 对 木马 的 安全 防范 意识 。 

2. 实验 原理 

木马 全 称 为 特洛伊 木马 , 源 自古 希腊 神话 。 木 马 是 隐藏 在 正常 程序 中 的 具有 特殊 功能 
的 恶意 代码 ,是 具备 破坏 .删除 和 修改 文件 .发送 密码 .记录 键盘 .实施 DoS 攻击 甚至 完全 控 
制 计算 机 等 特殊 功能 的 后 门 程序 。 它 隐藏 在 目标 计算 机 里 ,可 以 随 计算 机 自动 启动 并 在 某 
一 端口 监听 来 自控 制 端的 控制 信息 。 木 马 的 实质 是 一 个 通过 端口 进行 通信 的 网 络 客户 机 / 
服务 器 端 程序 。 受 害 者 使 用 的 是 服务 器 端 冰 河 ,而 控制 者 使 用 的 是 客户 机 。 

冰河 木马 是 国内 一 款 非常 有 名 的 木马 ,功能 非常 强大 。“ 冰 河 ” 一 般 是 由 两 个 文件 组 成 : 
G_Client 和 G_Server, 其 中 G_Server 是 木马 的 服务 器 端 ,就 是 用 来 植 入 目标 主机 的 程序 ; 
G_Client 是 木马 的 客户 机 ,就 是 木马 的 控制 端 。 打 开 控 制 端 G_Client, 弹 出 “冰河 ”的 主 界 
面 ,如 图 A. 29 所 示 。 





冰河 v6.0 [6LUOSHI 考 版 ] 国 |[ejlE 
文件 [E] 。 编辑 [E] 。 设置 [G] 。 帮助 [由 


可 风电 时 时 和 本 轨 治 名 和 a 


图 A.29 冰河 主 界面 


图 A. 29 中 的 快捷 工具 栏 从 左 至 右 简介 如 下 。 

(1) 添加 主机 : 将 被 监控 端 IP 地 址 添加 至 主机 列表 ,同时 设置 好 访问 口令 及 端口 ,设置 
将 保存 在 Operate. ini 文件 中 ,以 后 不 必 重 新 输入 。 如 果 需 要 修改 设置 ,可 以 重新 添加 该 主 
机 ,或 者 在 主 界面 工具 栏 内 重新 输入 访问 口令 及 端口 并 保存 设置 。 

(2) 删除 主机 : 将 被 监控 端 IP 地 址 从 主机 列表 中 删除 。 

(3) 自动 搜索 : 搜索 指定 子 网 内 安装 有 冰河 的 计算 机 。 

(4) 查看 屏幕 : 查看 被 监控 端 屏幕 。 

(5) 屏幕 控制 : 远程 模拟 鼠标 及 键盘 输入 。 

(6) “冰河 " 信 使 : 点 对 点 聊天 室 。 

(7) 升级 1.2 版 本 : 通过 “冰河 ”来 升级 远程 1. 2 版 本 的 服务 器 程序 。 

(8) 修改 远程 配置 : 在 线 修改 访问 口令 ,监听 端口 等 服务 器 程序 设置 ,不 需要 重新 上 传 





整个 文件 ,修改 后 立即 生效 。 
(9) 配置 本 地 服务 器 程序 : 在 安装 前 对 G_Server 程序 进行 配置 。 
3. 实验 环境 


有 两 台 安 装 Windows 2000/XP 的 PC, 在 其 中 一 台 PC 上 安装 G_Server 程序 ,在 另外 
一 台 PC 上 安装 G_Client 程序 。 将 两 台 PC 通过 集线器 相连 ,组 成 一 个 局 域 网 。 
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4. 实验 内 容 和 步骤 

任务 一 ”使 用 “冰河 ”对 远程 计算 机 进行 控制 

在 一 台 目 标 主机 上 植 人 木马 ,在 此 主机 上 运行 G_Server 程序 作为 服务 器 端 ,在 另 一 台 
主机 上 运行 G_Client 程序 作为 控制 端 。 植 入 木马 后 的 目标 主机 可 看 到 7626 端口 开放 ,如 
图 A. 30 所 示 , 这 是 冰河 木马 的 默认 使 用 端口 。 






LISTENING 





-0.8.0: 
TCP 192.168.1.123:1662 192.168.1.122:7718 TIME_WAIT 
TCP 192.168.1.123:1863 192.168.1.122:1827 TINME_WRIT 
TCP 。 192.168-1-123:1964 192.168.1.122:7718 TIME_WAIT 
TCP 192.168.1.123:1865 192.168.1.122:7718 TIME_WAIT 本 





图 A.30 冰河 的 默认 端口 


打开 控制 端 程序 , 单 击 “添加 主机 ?按钮 ,弹出 图 A. 31 所 示 的 对 话 框 。 

(1) 显示 名 称 : 输入 显示 在 主 界面 的 名 称 。 

(2) 主机 地 址 : 输入 服务 器 端 主机 的 IP 地 址 。 

(3) 访问 口令 : 输入 每 次 访问 主机 的 密码 ,“ 空 ” 即 可 。 

(4) 监听 端口 :“ 冰 河 ? 默 认 的 监听 端口 是 7626 ,控制 端 可 以 修改 它 以 绕 过 防火 墙 。 








文件 了 ] 。 山 钱 [5 设置 [5] 。 帮助 IN 

| 胞 副 马 里 加 年 画 昌 考 名 了 

当前 连接 : [Leesiest ”二 ] 端口 : R525 ”访问 吕 令 : 厂 ” 应 用 [8] 

全 文件 管理 器 | 命令 近 制 台 | 

本 7] [ES ] 





四国 Localhost 























典 有 4 个 对 象 


A.31 冰河 控制 端 添加 主机 


单 击 “ 确 定 ” 按 钮 , 即 可 以 看 到 主 界面 上 添加 了 wan 的 主机 ,如 图 A. 32 所 示 。 

单 击 wan 主机 名 ,如 果 连 接 成 功 , 则 会 显示 服务 器 端 主 机 上 的 盘 符 ,如 图 A. 33 所 示 。 

这 时 就 可 以 像 操作 自己 的 计算 机 一 样 操作 远程 目标 计算 机 。 

“冰河 ”的 大 部 分 功能 都 在 “命令 控制 台 ” 实 现 。 选 择 “ 命 令 控制 台 ” 选 项 卡 , 弹 出 如 图 A. 34 
所 示 的 命令 控制 台 界面 。 
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\ 六 河 v6-0 [GLUOSHI 专 版 ] 





文件 [E] 。 蝙 缉 [E] 。 设置 [G] 和 才 助 [{] 


EE 





























当前 连接 : [r= 可 靖 D: Fezs 访问 口令 : 「 
号 添加 计算 机 局 文件 管理 器 | 吧 命令 控制 台 | 
可 司 我 的 电 让 件 名 称 证 
届 国 Lecanost Sc 
二 " 
EE 





图 A.32 添加 主机 后 的 界面 


b :| 
文件 [E] 。 蝙 辑 [E] 。 设置 [G] 。 帮助 [N] 


台中 到 里 国 年 西田 省 句 卫 


当前 连接 : [ve 可 稍 D :Jesse 访问 DS:[ 应 用 [8] 
局 文件 管理 器 | 双 命令 控制 台 | 
中 局 我 的 电 及 文件 大 小 他 节 ) [最后 更 新 时 间 
由 图 Localoat 
由 园 5: 
HD 


4 己 国 

















各 培养 计 划 

国 万 湖 资 料 ( 区 则 ) 

加 pagefile sys 402853184 2008-6-19 上 年 08:04:1 

加 QQ200TITEB!. exe 23189392 2008-5-25 上 年 09:12:1 

lm] QQ2006KE3. exe 28367468 2009-9-9 下 午 05;29:5: 

固 -resdnsil 2641 ”2008-10-10 上 午 09;5. 

SCANLDG TXT 2178 2008-9-18 上 午 11:39:! 

辐 w hu 3128 2008-10-3 下 午 01:52: 国 

< 四 


共有 16 个 对 象 














图 A.33 连接 成 功 界 面 


冰河 v6.0 [cLUOSHI 专 版 ] sla 
文件 [E] 局 辑 全 设置 加 。 帮助 [四 


可 哆 多 里 归 和 到 加 二名 所 


| 当前 连接 : |"* 可 六 :Fe 访问 D 令 : [ 应 用 [Ss] 
全 文件 痢 理 器 _ 芭 合 控制 6 | 
* HEED 











市 人 G 科 抽 天 命令 





请 从 左 侧 列表 中 选择 相关 命令 











图 A.34 控制 台 界面 
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可 以 看 到 命令 控制 台 分 为 “口令 类 命令 ”控制 类 命令 “网 络 类 命令 ”文件 类 命令 ”“ 注 
册 表 读 写 ” 和 “设置 类 命令 ”。 下 面 介绍 几 个 命令 的 使 用 方法 。 
(1) 口令 类 命令 。 展 开 “ 口 令 类 命令 ”, 如 图 A. 35 所 示 。 


\ 诛 河 v6.0 [GLUOSHI 专 版 ] 
文件 [] 。 编辑 [E 设置 [G] 帮助 [加 


红叶 遇 黑 夺 生 辐 轨 涛 名 有 Re 


当前 连接 : |van =| 端口 :1626 访问 口令 : 应 用 [8] 











请 从 左 侧 列表 中 选择 相关 命令 














图 A.35 口令 类 命令 


Q 系统 信息 及 口令 : 可 以 查看 远程 主机 的 系统 信息 ,开机 口令 ,缓存 口令 等 ,如 图 A. 36 
所 示 。 单 击 “ 系 统 信息 ”按钮 ,可 以 看 到 远程 主机 的 Windows 版 本 、 当 前 用 户 、 物 理 内 存 空 
间 等 ,还 可 以 看 到 其 他 详细 的 远程 主机 信息 ,这 就 无 异 于 远程 主机 彻底 暴露 在 攻击 者 
面前 。 


\ 订 河 v6.0 [GLUOSHI 专 版 ] 
文件 四 。 编辑 [ 设置 [G6] 帮助 0 


台中 到 里 国 年 到 明光 外 可 


当前 连接 : |ven | 端口 : |7626 访问 口令 : 应 用 [S] 
局 文人 管理 器 氏 命令 控制 | 


日 导 口 信 类 命令 Pentiun 
Windows 版 本 Le nm 
9 RR Lv 
C: MWINDOWS\syst, em32\ 
C:\DOCUME“1 \wan\LOCALS“1\Temp\ 








开机 口令 缓存 口令 其 他 口令 














图 A.36 系统 信息 及 口令 


@ 历史 口令 : 可 以 查看 远程 主机 以 往 使 用 的 口令 。 
@ 击 键 记录 : 启动 键盘 记录 后 ,可 以 记录 远程 用 户 击 键 记录 ,以 此 可 以 分 析出 远程 主 
机 的 各 种 账号 和 口令 及 各 种 秘密 信息 。 
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(2) 控制 类 命令 。 展 开 “ 控 制 类 命令 ”, 如 图 A. 37 所 示 。 


. 订 河 w6.0 [6LUOSHI 专 版 


时 [6] 


ETTT 有 


| 当前 连 撞 : [en 可 端口 : Fez 访问 口令 :「 应 用 [8] 














捕获 区 域 : 话 屏 了 ] 。 色 深 0 一 1): 
传输 格式 : UF” 。 品质 -100) ; 
































数据 流 接收 完毕 





图 A.37 控制 类 命令 


Q@ 捕获 屏幕 : 可 以 使 控制 端 使 用 者 查看 远程 主机 的 屏幕 ,好 像 远 程 主机 就 在 自己 面前 
- 样 ,这 样 更 有 利于 窃取 各 种 信息 。 单 击 “ 查 看 屏幕 ”按钮 ,可 以 弹出 远程 主机 的 屏幕 ,如 
图 A. 38 所 示 。 可 以 看 到 ,远程 主机 屏幕 上 的 内 容 就 显示 在 本 机 上 了 ,显示 内 容 不 是 动态 
的 ,而 是 每 隔 一 段 时 间 传 来 一 幅 。 


冰河 v6-0 [6GLUOSHI 专 版] 


Tr 的 是 


当前 连接: |" 六 DO: Fe 。 访 ED 令 : 应 用 [8] 
全 文人 管理 器 昌 合 控制 全 | 











Nisntrey\ 








ED 
Er ce 
图 标 党 型 : 内 甬 过] 发 送 
[| 

















未 发 现任 何 历史 密码 信息 


图 A.38 查看 屏幕 结果 


@ 发 送信 息 : 可 以 使 控制 端 使 用 者 向 远程 计算 机 发 送 Windows 标准 的 各 种 信息 。 

@ 进程 管理 : 可 以 使 控制 端 使 用 者 查看 远程 主机 上 的 所 有 进程 ,如 图 A. 39 所 示 ,可 以 
查看 远程 主机 上 存在 的 进程 ,也 可 以 终止 某 个 进程 。 

@ 窗口 管理 : 可 以 使 远程 主机 上 的 窗口 进行 刷新 、 最 大 化 、 最 小 化 、 激 活 、 隐 藏 等 。 

@ 系统 控制 : 可 以 使 远程 主机 进行 关机 、 重 启 、 重 新 加 载 “冰河 ”、 自 动 抒 载 “冰河 ”操作 。 
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订 河 v6.0 [ELUOSHI 专 版 ] 
文件 [E] 。 洽 司 设置 [6] 。 帮助 [0 


台 克 到 里 国 年 到 男 确 句号 


gr WP Woe: 门 ”应 用 [Sl 


各 文件 和 再 器 “ 色 命 控制 台 | 











~ Mierosoft Internet Explorer 


1-46ab-858D-3P14P6AD3EBE 
SS 2819-404e-A3EF-79514A24639D} 


swe 

















图 A.39 进程 管理 


@ 鼠标 控制 : 可 以 使 远程 主机 上 的 鼠标 锁定 在 某 个 范围 内 。 

@ 其 他 控制 : 可 以 使 远程 主机 进行 自动 拨号 禁止 .桌面 隐藏 .注册 表 锁定 等 操作 。 
(3) 网 络 类 命令 。 展 开 “ 网 络 类 命令 ”, 如 图 A. 40 所 示 。 

Qz 创建 共享 : 在 远程 主机 上 创建 自己 的 共享 。 

@ 删除 共享 : 在 远程 主机 上 删除 某 个 特定 的 共享 。 

@ 网 络 信息 : 查看 远程 主机 上 的 共享 信息 。 


冰河 v6.0 [6LUOSHI 专 版 ] 
文件 四 。 遇 输 [ 设置 四 。 帮助 [W] 


台 克 到 里 国 年 到 男 确 人 句 卫 


当前 连接 : [vn 本 端口: ez 访问 D 令 :[ 应 用 [8] 
全 文人 管理 器 色 命 $ 控 制 台 | 


9 
In$ [未知 ] oy 要 下 


+ VE、 tem32\SFOOLAdr ) “打印 机 驱动 程序 ' 
四 请 到 区 i an 2 3 











许可 :BVILTINWdm ars WD RC WD WO S :0x01FF) 
许可 :BUILTIN\Pow RC WD WO S :0xO1FF) 
|PDFConwerter [打印 机 ,LocalsplOnly) “ehoc Printer 


所 有 者 [无 ] 钥 : [无 ]\ 
许可 : one RWD x01FF) 


许可 ， BUILTINWAdninistraters @ RC WD WO S :0x01FF) 





I se | 














图 A.40 网 络 类 命令 


(4) 文件 类 命令 。 展 开 “ 文 件 类 命令 ”“ 文 本 浏览 “文件 查找 ”文件 压缩 “文件 删除 ” 
“文件 打开 ”等 菜单 可 以 查看 、 查 找 、 压 缩 、 删 除 、 打 开 远 程 主机 上 的 某 个 文件 。 “目录 增删 ” 
“目录 复制 ”可 以 增加 、 删 除 、 复 制 远程 主机 上 的 某 个 目录 ,如 图 A.41 所 示 。 
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证 河 v6.0 [GLUOSHI 专 版 ] 
文件 [E] 性 簿 [E] 设置 四。 帮助 吧 


蝇 克 到 里 国 年 到 曙 交 句 本 


当前 连接 : [an 2 端 D: ez 访问 D 人 :| 应 用 [3] 
鲁 文人 管理 器 色 命 控制 台 | 


国 Sm 人 et 二 
由 A E 5 本章 ) os 网 结实 全 技术 第 二 进 网 络 安全 的 议 基础 ppt 
Soh He 














f:\ 万 请 资料 ( 包 删 ) \ 工 具 软件 \Sni ffer 教 程 \Sni ffer 用 法 .ppt 
二 


本 





由 站 注册 表 该 写 
由 和 设置 类 命令 























图 A.41 文件 类 命令 


(5) 注册 表 读 写 。 展 开 “ 注 册 表 读 写 ”, 注 册 表 读 写 提 供 了 “ 键 值 读 取 ”“ 键 值 写 和 信 ”“ 键 值 
重 命名 “主键 浏览 ”主键 增删 “主键 复制 “主键 重合 ”a mae 


名 ”的 功能 ,如 图 A. 42(a) 所 示 。 Ha 
(6) 设置 类 命令 。 展 开 “ 设 置 类 命令 ”, 设 置 类 命令 Hs -SEE 
提供 了 “更 换 墙纸 “更 改 计算 机 名 ”服务 器 端 配 置 "的 功 HE He 
罗 和 @ 报 务 器 端 配 置 
能 ,如 图 A.42(b) 所 示 。 ， _ 四 四 
通过 命令 控制 台 ,基本 上 可 以 完全 控制 一 台 远程 主 。 0 
机 ,查看 或 寻找 想 要 的 任何 信息 ,所 以 说 木马 的 危害 是 极 。 图 A. 42 “注册 表 读 写 "和 
“设置 类 命令 ”选项 


大 的 。 

任务 二 手动 删除 冰河 木马 

标准 版 冰河 的 服务 器 端 程序 为 G-server. exe, 客 户 端 程序 为 G-client. exe, 默 认 连 接 端 
口 为 7626。 一 旦 运行 G-server, 那么 该 程序 就 会 在 C:\Windows\system 目录 下 生成 
Kernel32. exe 和 sysexplr. exe, 并 删除 自身 。Kernel32. exe 在 系统 启动 时 自动 加 载运 行 ， 
sysexplr. exe 和 TXT 文件 关联 。 即 使 删除 了 Kernel32. exe, 但 只 要 打开 TXT 文件 ， 
sysexplr. exe 就 会 被 激活 , 它 将 再 次 生成 Kernel32. exe, 于 是 冰河 又 回来 了 。 这 就 是 冰河 屡 
删 不 止 的 原因 。 

步骤 1: 首先 要 删除 C:\Windows\system 下 的 Kernel32. exe 和 Sysexplr. exe 文件 。 

步骤 2: 查看 注册 表 中 木马 的 踪迹 。 

在 命令 行 窗口 运行 Regedit 命令 打开 注册 表 编辑 器 ,在 [KEY_LOCAL_MACHINE\ 
Software\Microsoft\Windows\CurrentVersion\Runj] 中 查看 键 值 中 有 没有 自己 不 熟悉 的 自 
动 启动 文件 ,扩展 名 为 EXE。 

一 般 “ 冰 河 ” 的 默认 文件 名 为 KERNEL32. EXE( 注 意 此 文件 的 名 字 可 能 会 被 种 马 的 人 
改变 )。 

如 果 有 , 那 我 们 现在 开始 修改 , 先 删除 该 键 值 中 的 这 一 项 ,再 删除 [KEY_LOCAL_ 
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MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices] 下 面 对 应 的 这 个 
键 值 。 

一 般 “ 冰 河 ” 用 户 端 程序 的 自我 保护 设 为 关联 TXT 文件 或 EXE 文件 ,关联 的 文件 为 
SYSEXPLR. EXE。 

步骤 3: 恢复 注册 表 中 文本 文件 或 EXE 文件 关联 。 

(1) 将 注册 表 的 LHKEY_CLASSES_ROOT\txtfile\shell\open\command] 项 下 的 默认 
值 由 中 木马 后 的 C:\Windows\system\Sysexplr. exe %1 改 为 正常 情况 下 的 C:\Windows\ 
notepad. exe %1 即 可 。 

(2) 如 果 是 关联 的 EXE 文件 ,需要 打开 注册 表 编 辑 器 ,在 HKEY_CLASSES_ROOT\. exe 
中 把 “默认 ”的 键 值 随便 改 成 什么 (注意 看 清楚 ,等 会 儿 要 改 回来 )。 

以 上 这 两 步 做 完 后 ,退出 Windows, 在 DOS 状态 下 删除 该 “冰河 ”用 户 端 程序 ,重新 启 
动 即 可 。 

注意 : 要 把 EXE 文件 的 注册 表 改 回来 。 

5. 实验 报告 要 求 

要 求实 验 过 程 中 的 每 一 步 都 要 有 对 应 的 实验 结果 截图 ,并 有 详细 的 说 明 。 


实验 6 个 人 防火 墙 配置 


1. 实验 目的 

通过 对 常见 的 天 网 防火 墙 的 配置 过 程 , 学 会 防火 墙 软 件 的 一 般 使 用 ,掌握 防火 墙 IP 规 
则 设置 原理 和 方法 ,掌握 防火 墙 应 用 程序 规则 设置 原理 和 方法 。 

2. 实验 目的 

防火 墙 的 配置 对 于 计算 机 系统 安全 是 十 分 重要 的 ,一 个 配置 不 好 的 防火 墙 比 没有 防火 
墙 更 糟糕 。 对 于 普通 用 户 来 说 ,天 网 个 人 防火 墙 软件 是 常用 的 一 个 防火 墙 软 件 , 在 该 防火 墙 
中 ,IP 规则 的 设置 \ 应 用 程序 规则 的 设置 对 于 增强 系统 抗 攻击 能 力 十 分 重要 。 在 该 防火 墙 
中 ,可 以 很 方便 地 设置 对 不 同 IP 地 址 、 应 用 程序 的 访问 策略 。 

3. 实验 环境 

Pentium 轩 以 上 CPU,128MB 以 上 内 存 ,10GB 以 上 硬盘 ,安装 Windows 98 以 上 的 操 
作 系 统 , 局 域 网 或 Internet 环境 ,天 网 防火 墙 个 人 版 软件 。 

4. 实验 内 容 和 步骤 

安装 并 运行 天 网 防火 墙 个 人 版 软件 。 启 动 后 ,天 网 防火 墙 的 界面 如 A. 43 所 示 。 

1) 系统 设置 

单 击 “系统 设置 ?按钮 ,弹出 如 图 A. 44 所 示 的 对 话 框 。 选 择 * 基 本 设置 ?选项 卡 ,可 以 选 
中 “开机 后 自动 启动 防火 墙 ” 复 选 框 , 保 证 每 次 开机 后 自动 运行 天 网 防火 墙 软件 。 也 可 以 在 
这 个 界面 上 通过 单 击 “ 向 导 ” 按 钮 启动 设置 向 导 进 行 基本 设置 。 在 这 个 设置 界面 上 ,还 可 以 
选中 “自动 保存 日 志 ” 复 选 框 ,并 设置 日 志保 存 位置 。 在 默认 情况 下 ,日 志 记 录 保 存在 
SkyNet/FireWall/log 文件 夹 下 。 
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系统 设置 “当前 系统 所 有 应 用 程序 状况 





应 用 程序 规则 





日 志 在 线 升级 “ 接 通 / 断 开 
级 别 
安全 级 别 g 


图 A.43 天 网 防火 墙 界面 





图 A.44 基本 设置 


2) IP 规则 设置 


单 击 “IP 规则 管理 ”按钮 ,弹出 如 图 A. 45 所 示 界 面 。 在 IP 规则 设置 操作 界面 的 “ 自 定义 
全 规则 ”工具 栏 中 单 击 * 增 加 规则 ”按钮 如 ,在 “增加 IP 规则 ”窗口 中 输入 规则 “名 称 ”, 如 * 冰 
河 ”, 输 入 规则 “说 明 ”, 如 “木马 ”,“ 数 据 包 方向 ”选择 “接收 选项,“ 对方 的 IP 地 址 ”选择 “任何 
地 址 ”选项 ,在 “数据 包 的 协议 类 型 ”选择 UDP 选项 ,在 “本 地 端口 "输入 端口 范围 ,如 从 7626 到 
7626, 在 “满足 上 面 的 条 件 时 ”下 面 选择 “拦截 ”选项 ,最 后 单 击 “确定 ”按钮 。 这 样 该 数据 包 就 


无 法 进入 计算 机 了 。 





图 A.45 自 定义 正 规则 
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有 以 下 几 点 说 明 。 

(1) IP 规则 是 针对 整个 系统 的 网 络 层 数据 包 监 控 而 设置 的 。 利 用 自 定 义 IP 规则 ,用 户 
可 针对 个 人 不 同 的 网 络 状态 ,设置 自己 的 IP 安全 规则 ,使 防御 手段 更 全 面 、 更 实用 。 一 般 防 
火 墙 都 设置 了 默认 IP 规则 ,当选 中 天 网 防火 墙 一 个 规则 时 ,会 在 窗口 的 最 下 方 显示 该 规则 
的 解释 说 明 。 一 般 用 户 不 需要 做 任何 IP 规则 修改 ,就 可 以 直接 使 用 。 

(2) 防火 墙 的 规则 检查 顺序 与 规则 列表 顺序 是 一 致 的 , 即 规则 判断 是 由 上 到 下 执行 的 ， 
如 “禁止 所 有 人 连接 UDP 端口 ?规则 可 以 防止 所 有 的 机 器 和 自己 连接 。 这 是 一 条 非常 严厉 
的 规则 ,有 可 能 会 影响 使 用 某 些 软件 。 如 果 需 要 向 外 面 公开 特定 端口 ,可 在 “禁止 所 有 人 连 
接 UDP 端口 ?规则 前 添加 使 特定 端口 数据 包 可 通行 的 规则 。 

(3) 防火 墙 可 以 修改 ,删除 卫 规则 ,也 可 以 通过 “上 移 ?或 “下 移 ? 按 钮 调整 规则 的 顺序 (只 
有 相同 协议 的 规则 才 可 以 调整 相互 顺序 ), 还 可 以 “导出 "和 “导入 ”已 预 设 和 已 保存 的 规则 。 

3) 应 用 程序 规则 设置 

单 击 “ 应 用 程序 规则 ”按钮 ,打开 应 用 程序 规则 设置 界面 ,如 图 A. 46 所 示 。 在 应 用 程序 
规则 操作 界面 的 “应 用 程序 访问 网 络 权限 设置 ?工具 栏 中 , 单 击 * 增 加 规则 ?按钮 ,然后 在 “ 增 
加 应 用 程序 规则 ”窗口 单 击 “ 浏 览 ” 按 钮 ,选择 要 添加 的 应 用 程序 名 称 ,如 G_Client. exe, 在 
“该 应 用 程序 可 以 ?选项 的 下 面 设 定 该 应 用 程序 可 以 做 的 动作 ,如 选中 用 于 各 种 客户 机 软件 
的 “通过 TCP 协议 发 送 消息 ”等 ,用 于 服务 器 端 程序 的 “通过 UDP 协议 发 送 消息 ”等 ,最 后 指 
定 “TCP 协议 可 访问 端口 ”, 如 选择 “端口 范围 ”, 然 后 在 “不 符合 上 面条 件 时 ”选择 “禁止 操 
作 ” 选 项 ,最 后 单 击 “ 确 定 ” 按 钮 。 这 样 应 用 程序 规则 就 设置 好 了 。 











图 A.46 应 用 程序 规则 设置 


有 以 下 几 点 说 明 。 

(1) 定义 应 用 程序 规则 就 是 设置 应 用 程序 访问 网 络 的 权限 ,控制 应 用 程序 发 送 和 接收 
数据 传输 包 的 类 型 .通信 端口 ,并 且 决 定 拦截 还 是 通过 ,便于 发 现 系 统 中 的 木马 和 后 门 软件 。 
防火 墙 可 以 修改 、 删 除 应 用 程序 规则 设置 ,还 可 以 “导出 ”和 “导入 ”已 预 设 和 已 保存 的 应 用 
程序 规则 。 

(2) 修改 应 用 程序 规则 时 ,可 以 单 击 应 用 程序 规则 列表 右边 的 “选项 按钮 ,打开 该 “应 
用 程序 规则 高 级 设置 操作 界面 ,对 该 应 用 程序 规则 进行 修改 。 

对 某 个 应 用 程序 做 对 应 的 规则 设置 .最 后 查看 设置 以 后 应 用 程序 访问 外 部 和 从 外 部 攻 
击 设置 了 天 网 防火 墙 的 主机 拦截 效果 。 
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5. 实验 说 明 


本 实验 重点 是 对 规则 的 设置 ,做 实验 时 建议 学 生 看 一 下 天 网 防火 墙 的 帮助 说 明 ,对 天 网 
防火 墙 所 提供 的 功能 都 试 做 一 下 。 学 生 可 以 自由 组 合 ,使 用 一 些 常用 黑客 攻击 软件 相互 攻 
击 , 通 过 修改 已 有 规则 ,比较 防火 墙 拦截 效果 。 建 议 实验 课时 为 2 学 时 。 


实验 7 软件 动态 分 析 


1. 实验 目的 

通过 对 简单 软件 的 动态 分 析 和 破解 ,了 解 静 态 .动态 分 析 软 件 的 基本 功能 和 使 用 方法 ; 
了 解 动态 分 析 软 件 破解 程序 基本 方法 ; 加 强 对 软件 保护 知识 的 认识 。 

2. 实验 原理 


本 实验 提供 了 一 种 破解 程序 的 简单 方法 。 针 对 不 同 的 软件 保护 方法 ,会 有 很 多 更 复杂 
的 分 析 方法 ,而 这 些 都 必须 在 熟悉 OllyDbg 使 用 的 情况 下 才能 实现 。 在 实验 过 程 中 还 要 重 
点 熟悉 OllyDbg 功能 和 使 用 。 建 议 该 实验 课时 为 2 学 时 。 

3. 实验 环境 

Pentium 且 、.600 MHz 以 上 CPU,128MB 以 上 内 存 ,10GB 以 上 硬盘 ,安装 Windows XP 
以 上 操作 系统 ,动态 分 析 软 件 OllyDbg1. 09 调试 器 。 

4. 实验 内 容 和 步骤 

任务 一 ”现代 汉语 词典 软件 的 破解 

步骤 1: 从 服务 器 上 下 载 并 安装 现代 汉语 词典 软件 ; 下 载 破解 软件 常用 的 软件 工具 , 包 
括 PEiD、AspackDie、OllyDbg 等 。 现 代 汉 语词 典 注册 信息 页 面 如 图 A. 47 所 示 。 


王 挨 家 挨户 


拼音 :54 Ji6 于 ha 





ET 
“。 注册 支持 信用 卡 、 邮 政 、 钠 汇 等 等 

序列 号: 

注册 码 : 


填写 完毕 ， 确 认 注册 了 





点 击 这 里 ,马上 网 上 取得 序列 号 , 注册 码 ， 永 远 免费 升级 支持 。 


机 更 、 上 问 南 、 转 账 等 方式 = 
快速 同上 支付 ， 快 童 马 上 到 得 注册 码 : : 


点 击 这 里 马上 网 上 注册 软件 , 马上 开通 











图 A.47 现代 汉语 词典 注册 信息 页 面 
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步骤 2: 用 工具 软件 PEiD 查找 该 软件 的 过 ,以 及 编程 语言 .入口 等 信息 ,如 图 A. 48 所 
示 。 然 后 进行 脱 壳 处 理 。 


Er ES 











Fie， FilProgram Fies' 观 代 汉 请 词典 Yhycd.exe | 苔 | 
Entrypont: poz28001 Epsection: [aspak [2] 
File Offset: 60606500 ~— First Bytes: PoE,03,00 [>] 
Linker Info: .25 Subsystem: Win32 GUT Ej 








pspack 2.12 -> Alexey Solodovnikov 





Multi Scan Task Viewer | Options About | Exit 


克 stay ontop 











图 A.48 查看 软件 的 相关 信息 


从 图 A. 48 中 可 以 看 出 该 软件 用 ASPack2. 12 进行 了 加 壳 , 所 以 要 找到 对 应 的 脱 壳 工 
具 进 行 脱 壳 处 理 。 这 里 可 以 采用 ASPackDie 对 该 软件 进行 脱 壳 。 

步骤 3: 执行 OllyDbg. exe 文件 ,在 OllyDbg 窗口 上 选择 “文件 (File)”>“ 打 开 (Open)” 
命令 ,装载 步骤 2 已 经 脱 壳 完成 的 主 程序 进行 调试 ,如 图 A. 49 所 示 。 




















0000 
EDX 0052BC20 Unpacked 《模块 入 口 点 > 
EX TFFDF000 


EIP 0052BC20 Unpscked 《模块 入 口 点 > 
ES 0023 32 位 0 FFFFFFF) 
CS O01B 32 位 0 FFFFFFF) 
PUSH Wapacked 00526Dg0 SS 0023 32 位 0 (FFFFFFFF) 
PUSH DWORD PTR FS: [EAX] DS 0023 32 位 0 (FFFFFFFF) 
MOYV DYORD PTR FS: [EAX], ESP FS 0038 32 位 TFFDEOOO (8000) 
Rs, OD PIR De: xl 65 O000 MIL 


a 
LastErr ERROR_SUCCESS (00000000) 














图 A.49 用 OllyDbg 载 入 已 经 脱 壳 后 的 主 程序 


步骤 4: 在 OllyDbg 中 的 超级 字 串 参考 信息 里 面 ,查找 在 注册 时 出 现 的 错误 提示 信息 ， 
根据 提示 信息 查找 关键 Call 和 关键 跳 转 指令 的 位 置 ,如 图 A. 50 所 示 。 


364 计算 机 信息 安全 技术 (第 2 版 ) 





‘Woounpidpe™ WT OO 。 记 (EES 


| 文人 (P“ 童 看 (W) “调试 D)” 播 |(P)“ 迹 项 [军种 助 (H) 








DoS271EE | .|E8 2024EEFF | 
ooszTIFS|| ，| so4s D0 |LEA ZAX, IERIIETESSSSIEEESS90 
Dos271FE | .|BA 04735200 |WOY RDX Unpacked 00527304 El 
oos271FB||. |E8 NE Unn 
oos27200||. |8B4s D0 jbov AY, 
00527203| E8 本 
aos272n8 | > | M4 BcEXs200 [Woy BA 
0052720D 
eee | en MY BA acked_00526FZB Ar ae con fsher emera_vien rp? 
00s27215|| ，| 了 K 14735200 [wov Enx, 网 | 00S26FD2 | PUSY Unpacked 00527048， 
os2T2iA|| ”| 6 TSECFIFF CAEL 0052709A| NOV EDX, Unpacked. 00527284 Sltr we Weisfl dy 
0052721F 8BC3 DY EAX, Eq 005270CE NOV EAX, Unpacked. 005272D4 注册 信息 没有 填 与 齐全 
onsz7221|| |E8 Becerare nbad | 0052718A MOV 了 DX Unpacked 005272F4 yhdsger 
27228 | ‘ ,| EB 24 shORT | 005271C3 | MOY ZDX Unpacked. 00527304 cf dl 
00527186 | MOY 了 DX Unpacked. sf dll 
e27220 | ES DATAPIFE ‘Wnp ud 00527215 IOV EDX Vnpacked 00527314 
oos2T252 XOR EDX, 
00527234|| ， 8B83 0003000(WOY EAX, Dd 00526830 | WOV EDX, Unpacked O00S28D30 
2 BEB 55ECP1TF | CHE In Unpacked. 00528D3C an 
0052723F XoR EDX Ed 00528Ca4| PUSH Unpacked. 00523D3C Van 
5272: BB83 0403000( WOY BAX a un 
oo527247| | Ee 48ECFITF ERE (00528C34 |PUSH Unpackea_ 00526DSC nn 
ooszTzdc|| > 33c0 XOR EAX, ee I 
oos2724E | 5A POP EDX 加 











图 A.50 查找 关键 Call 位 置 


步骤 5: 单 步 执行 查找 内 存 中 保存 的 注册 码 等 信息 。 或 者 对 程序 的 指令 代码 进行 修改 ; 
或 者 用 Keymaker 制作 注册 机 。 

任务 二 ”普通 注册 软件 的 破解 

步骤 1: 从 服务 器 上 下 载 破解 专用 小 软件 Cycle。 

步 又 2: 利用 工具 软件 查找 软件 的 相关 信息 ,具体 如 图 A. 51 所 示 。 
File: Elcycleleycle,EXE E 国 
Entrypoint: oo001000 EpSection: CODE 


Fie Offset Do000600 — First Bytes: BA,00EG,A4 
Unkermfo B25 Subsystem: Wna2 GUI | 














|| MASM32 { TASM32 [Overlay] 
[aasen | [Taskviewer | [ Options | [ abou |[ Ex | 
区 stay ontop [E>]| 





图 A.51 Cycle 软件 信息 
步骤 3: 用 OllyDbg 导入 需要 调试 的 Cycle 进行 单 步 跟 踪 调 试 ,找到 对 应 的 注册 码 信 
息 , 对 软件 进行 跟踪 和 破解 。 
5. 实验 说 明 
本 实验 重点 在 于 了 解 对 软件 的 静态 分 析 和 动态 分 析 方 法 ,通过 静态 分 析 能 够 了 解 软件 
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的 过 及 编译 系统 的 概貌 ,能 够 为 软件 的 动态 分 析 提 供 参 考 。 软 件 的 动态 分 析 要 求学 生 能 够 
掌握 对 简单 软件 调试 跟踪 的 一 般 方法 ,从 而 提高 对 自己 设计 软件 的 保护 能 力 和 水 平 。 

6. 实验 报告 要 求 

要 求 对 任务 一 按照 步骤 要 求 对 现代 汉语 词典 分 别 采 用 查找 注册 码 和 修改 二 进 制 代码 两 
种 方式 对 软件 进行 破解 ,并 对 每 个 步骤 进行 解释 和 截图 ; 对 任务 二 ,要 求 通过 查找 资料 的 方 
式 , 找 到 对 该 软件 进行 破解 的 注册 码 ,每 步 要 有 对 应 的 截图 和 详细 的 说 明 。 


实验 8 Windows 2000/XP/2003 安全 设置 


1. 实验 目的 


强化 操作 系统 安全 意识 ,了 解 Windows 2000/XP/2003 的 安全 保护 措施 ,掌握 操作 系统 
中 安全 概念 ,学 会 使 用 Windows 2000/XP/2003 常用 安全 设置 方法 。 

2. 实验 目的 

本 实验 可 以 在 Windows 2000、Windows XP 或 Windows 2003 中 任意 一 个 操作 系统 下 
进行 。 实 验 内 容 丰 富 ,指导 教师 可 以 参考 “组 策略 编辑 器 ”(gpedit. msc) 的 使 用 ,建议 实验 课 
时 为 4 一 6 学 时 。 

3. 实验 环境 

Pentium 由 以 上 CPU,256MB 以 上 内 存 ,10GB 以 上 硬盘 ,安装 Windows 2000/XP/ 
2003 操作 系统 。 

4. 实验 内 容 和 步骤 

1) 加 密 文件 与 文件 夹 

方法 : 打开 “资源 管理 器 ” ,选择 要 加 密 的 文件 或 文件 夹 , 选 择 * 属 性 ”一 “常规 ”一 “高 级 
属性 ”选项 ,选中 “加 密 内 容 以 便 保护 数据 " 复 选 框 。 

说 明 : 如 果 操 作 系 统 所 在 的 分 区 是 FAT32 格式 ,可 先 将 分 区 FAT32 格式 转换 成 
NTFS 格式 。 具 体 方法 是 先 备份 该 分 区 的 一 些 重 要 文件 ,选择 “开始 ”一 “运行 "命令 ,输入 
“cmd” 命 令 , 单 击 “ 确 定 ” 按 钮 ,在 命令 行 窗口 中 执行 “convert x:/fs:ntfs” 命 令 , 其 中 x 是 该 
分 区 的 盘 符 。 

2) 将 文件 夹 设 为 专用 文件 夹 

方法 : 将 文件 夹 移动 到 “x:\Documents and Settings\ 用 户 名 \” 文 件 夹 中 (x 是 指 窗口 安 
装 文件 所 在 分 区 ) ,选中 该 文件 夹 以 后 , 单 击 “ 属 性 ”一 “共享 ”按钮 ,选中 “将 这 个 文件 夹 设 为 
专用 ” 复 选 框 。 这 样 , 当 其 他 用 户 想 进入 这 个 文件 夹 时 将 遭 到 “拒绝 访问 ”的 警告 提示 。 

说 明 : 在 默认 情况 下 ,Windows 中 所 有 的 文件 夹 都 是 开放 的 ,该 机 上 的 全 部 用 户 都 可 使 
用 它们 ,这 无 疑 使 某 些 用 户 的 重要 个 人 资料 面临 严重 的 威胁 。 

3) 关闭 简单 文件 共享 功能 

方法 : 打开 “资源 管理 器 ”, 在 “工具 ”菜单 中 选择 “文件 夹 选项 ”, 选 择 “ 查 看 ”选项 卡 , 在 
“高 级 设置 "窗口 中 取消 选中 “使 用 简单 文件 共享 (推荐 )" 复 选 框 。 

说 明 : 这 样 可 以 禁止 网 络 上 的 用 户 实现 文件 共享 。 
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4) 设置 应 用 程序 使 用 权限 

方法 1: 选择 要 设置 使 用 权限 的 应 用 程序 文件 , 右 击 应 用 程序 文件 ,在 弹出 的 快捷 菜 
单 中 选择 “运行 方式 ”选项 ,然后 在 弹出 的 窗口 中 输入 具有 相应 管理 权限 的 用 户 名 和 密码 
即 可 。 

说 明 : 设置 应 用 程序 使 用 权限 ,可 以 防止 他 人 使 用 特定 的 应 用 程序 。 

方法 2: 单 击 “开始 ”一 运行 ?按钮 ,执行 gpedit. msc 程序 ,在 “组 策略 ”窗口 依次 展开 
“用 户 配 置 ”>“ 管 理 模板 ”>“ 系 统 ” 菜 单项 ,双击 “只 运行 许可 的 窗口 应 用 程序 ”按钮 ,在 弹出 
的 窗口 中 选择 “设置 "选项 卡 ,选中 “已 启用 ” 单 选 按 钮 , 单 击 “ 显 示 ” 按 钮 ,在 “允许 的 应 用 程序 
列表 ”中 添加 允许 使 用 的 应 用 程序 ,最 后 单 击 “ 确 定 ” 按 钮 即 可 。 如 果 在 “管理 模板 "下面 没有 
“系统 ”项目 ,只 需 在 “管理 模板 ?上 右 击 进行 添加 即 可 ,系统 模板 文件 通常 在 C:\Windows\ 
inf 目录 下 。 图 A. 52 所 示 为 组 策略 编辑 器 gpedit. msc 窗口 。 




















选择 一 个 项 目 来 查看 它 的 描述 。 
国 用 户 配置 文件 










自 有 本 
外 国 软件 设置 图 cult+at+Del 选 项 
由 - 回 Windows 设置 加 于 录 
日 四 管理 局 组 策略 
由 图 wndows 姐 件 回电 源 管理 
自 人 和 [开始 | 荧 ! 国 Internet 通信 管理 
田 回 让 多 登录 时 不 显示 欢迎 屏 丰 
申 国 ji 旬 2000 年 份 转译 
-外 共享 文件 洋 傅 配置 豫 动 程序 搜索 位 置 
自 RN 角 设备 3B 动 程序 的 代码 签名 
日 :| 鱼 自 定义 用 户 界面 
国 用 户 配置 文件 鳃 阻止 访问 命 信 提 示 符 
角 阻 止 访问 注册 表 编 辑 工具 


国 肢 本 
CtritAlt+Del 选项 
登录 






鳃 只 运行 许可 的 windows 应 用 程序 
钱 不 要 运行 指定 的 Wndows 应 用 程序 











a qie 岛 关闭 自动 播放 蛋 
由 - 回 Internet 通信 管理 入 er 
外 windows 自动 更 新 二 
4 » 





天 扩展 人 本 罕 / 





图 A.52 组 策略 编辑 器 gpedit. msc 窗口 


说 明 : 以 后 一 般 用 户 只 能 运行 “允许 的 应 用 程序 列表 ”中 的 程序 。Windows 是 一 种 服务 
器 操作 系统 ,为 了 防止 登录 到 其 中 的 用 户 任意 启动 服务 器 中 的 应 用 程序 ,给 服务 器 的 正常 运 
行 带 来 不 必要 的 麻烦 ,因此 有 必要 根据 不 同 用 户 的 访问 权限 ,来 限制 用 户 调用 应 用 程序 。 

组 策略 编辑 器 中 的 内 容 很 多 ,做 实验 时 最 好 每 个 选项 都 试 着 做 一 下 ,以 便 对 操作 系统 安 
全 概念 有 深入 的 理解 。 

5) 清除 默认 共享 隐患 

方法 1: 打开 “控制 面板 ”, 单 击 “ 管 理工 具 ” 按 钮 ,双击 “服务 ”图 标 ,在 程序 列表 中 选择 
Server 选项 ,然后 在 对 应 的 “启动 类 型 "列表 中 选择 “已 禁用 ”或 手动 ”选项 。 

说 明 : 系统 在 默认 安装 时 ,都 会 产生 默认 的 共享 文件 夹 , 每 个 盘 符 也 会 被 自动 设置 了 共 

。 若 不 想 让 这 些 共 享 的 驱动 器 或 文件 夹 被 远程 计算 机 用 户 看 到 ,只 需 在 共享 驱动 器 或 文 
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件 夹 的 “共享 名 ”后 面 加 上 一 个 “$ ”就 可 以 了 (如 c$ 、d$ ,ipc$ 以 及 admin$ )。 但 是 , 当 远 
程 计算 机 用 户 知道 该 机 的 计算 机 名 称 、 用 户 名 和 密码 后 ,就 能 通过 网 络 访问 该 计算 机 ,这 也 
使 具有 共享 驱动 器 或 文件 夹 的 计算 机 存在 着 安全 隐患 。 

方法 2: 如 果 要 取消 C 盘 .D 盘 共享 ,可 以 先 编写 以 下 批 处 理 文件 : 

@echo off 

net share C$ /del 

net share D$ /del 

保存 为 delshare. bat, 然 后 存放 到 系统 所 在 文件 夹 下 的 system32\GroupPolicy\ User\ 
Scripts\Logon 目录 下 。 

打开 组 策略 编辑 器 gpedit. msc, 依 次 展开 “用 户 配 置 " 一 “Windows 设置 ”一 “脚本 ( 登 
录 / 注 销 )" 菜 单项 ,双击 “登录 ”按钮 ,打开 “登录 属性 ”窗口 , 单 击 “ 添 加 ”按钮 ,选择 要 添加 的 
脚本 文件 或 直接 输入 “delshare. bat”( 不 需要 添加 参数 ), 单 击 “ 确 定 ” 按 钮 ,重新 启动 计算 机 
系统 。 

6) 禁用 Guest 账户 

方法 : 打开 ”控制 面板 ”, 依 次 单 击 “ 管 理工 具 ”- 盖 计算 机 管理 按钮 ,依次 展开 “本 地 用 
户 和 组 ”>“ 用 户 ” 菜 单项 ,双击 Guest 账户 ,选中 “账户 已 停 用 ” 复 选 框 。 

说 明 : Windows XP 不 允许 停 用 Guest 账户 ,但 允许 为 Guest 账户 设置 密码 。 

7) 清除 交换 文件 

方法 : 依次 单 击 * 开 始 ” 一 “运行 ?按钮 ,执行 Regedit 命令 打开 注册 表 , 在 注册 表 中 找到 
HKEY_LOCAL_MACHINEA System \ CurrentControlSet \ Control \ Session Manager\ 
Memory Management, 创 建 或 修改 ClearPageFileAtShutdown 主键 ,把 这 个 主键 的 REG_ 
DWORD 值 设置 为 1。 

8) 清除 转 储 文件 

方法 : 打开 “控制 面板 ”>“ 系 统 " 菜 单项 ,选择 “高 级 "选项 卡 , 在 “启动 和 故障 恢复 ”下 面 
单 击 “ 设 置 ”按钮 ,将 “ 写 人 调试 信息 ” 栏 设 置 成 “(无 )”。 

9) 随时 启用 屏保 程序 

方法 : 单 击 * 开 始 ” 一 "搜索 ”按钮 ,在 “全 部 或 部 分 文件 名 "文本 框 中 输入 * . scr”, 单 击 
“搜索 ?按钮 ,选择 所 喜欢 的 屏幕 保护 程序 ,然后 在 桌面 上 建立 该 屏幕 保护 程序 快捷 方式 , 右 
击 桌面 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,选择 “屏幕 保护 程序 ”选项 卡 , 选 中 “在 恢复 时 
显示 欢迎 屏幕 "或 “使 用 密码 保护 " 复 选 框 。 

说 明 : 这 种 方法 可 以 在 离开 计算 机 时 立即 启用 屏幕 保护 程序 ,防止 短暂 离开 计算 机 时 ， 
他 人 完 测 自己 计算 机 中 的 重要 资料 。 

10) 开启 窗口 账号 安全 和 密码 策略 

方法 : 执行 gpedit. msc 程序 ,打开 组 策略 配置 窗口 ,依次 展开 “计算 机 配置 "一 
“Windows 设置 >“ 安全 设置 >“ 账户 策略 ”菜单 项 ,可 以 设置 其 中 的 “密码 策略 ”和 “账户 
锁定 策略 ”。 

说 明 : 开启 窗口 账号 安全 和 密码 策略 ,会 使 设置 的 密码 更 加 安全 。 例 如 ,启用 “复位 账 
户 锁定 计数 器 “账户 锁定 值 “ 密 码 必 须 符合 复杂 性 要 求 ”, 设 秆 “密码 长 度 最 小 值 “ 强 制 密 
码 历史 “密码 最 长 存留 期 "时 间 等 。 
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11) 关闭 不 必要 的 端口 

(1) 关闭 139 端口 。 

方法 : 右 击 * 网 络 邻居 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ?选项 ,然后 右 击 所 用 网 络 的 连 
接 , 选 择 “ 属 性 ”选项 ,在 “常规 ”选项 卡 中 ,取消 选中 “Microsoft 网 络 的 文件 和 打印 共享 ” 复 选 
框 ,选中 “Internet 协议 (TCP/IP)" 复 选 框 , 单 击 “ 属 性 ”一 “高 级 ”按钮 ,选择 WINS 选项 卡 ， 
选中 “禁用 TCP/IP 上 的 NETBIOS” 单 选 按 钮 。 

说 明 : 窗口 在 安装 了 TCP/IP 协议 的 同时 ,会 默认 打开 139 端口 。139 端口 的 开放 意味 
着 硬盘 可 能 在 网 络 中 被 共享 ,黑客 也 可 通过 网 络 系统 了 解 计算 机 中 的 一 些 情况 。 

(2) TCP/IP 筛选 。 

方法 : 在 “网 络 连接 ”中 , 右 击 所 用 的 网 络 连接 ,选择 网 卡 的 “属性 ?选项 ,在 “常规 ?选项 
卡 中 选中 “Internet 协议 (TCP/IP)" 复 选 框 ,然后 单 击 “ 高 级 "按钮 ,打开 “高 级 TCP/IP 设 
置 ” 对 话 框 ,选择 “选项 ”选项 卡 ,选择 “TCP/IP 筛选 ”选项 , 右 击 “属性 ”, 在 “TCP/IP 筛选 "对 
话 框 中 ,选中 “启用 TCP/IP 筛选 (所 有 适配器 )” 单 选 按钮 ,然后 根据 需要 配置 即 可 。 

说 明 : 如 果 只 打算 浏览 网 页 ,只 要 开放 TCP 端口 80 即 可 ,所 以 可 以 在 “TCP 端口 ”上方 
选择 “只 允许 ”>“ 添 加 ”选项 ,输入 “80”, 最 后 单 击 “ 确 定 ” 按 钮 。 

12) 关闭 不 需要 的 服务 

方法 : 打开 “控制 面板 ”, 双 击 “ 管 理工 具 ” 图 标 , 双 击 “ 服 务 ” 图 标 ,选择 要 关闭 的 服务 , 然 
后 在 对 应 的 “启动 类 型 "列表 中 选择 “已 禁用 ”或 “手动 ”选项 即 可 。 

说 明 : 可 以 关闭 如 远程 注册 服务 、 远 程 登录 等 几 个 高 风险 的 服务 。 

13) 备份 和 恢复 数字 证 书 

(1) 备份 数字 证 书 。 

方法 : 单 击 “ 开 始 ”- 盖 运行 ?按钮 ,执行 控制 台 程 序 mmc. exe, 单 击 “ 文 件 ” 一 “添加 /删除 
管理 单元 ”~* 添 加 ”按钮 ,在 弹出 的 “添加 独立 管理 单元 ”窗口 中 选择 “证 书 ” 选 项 , 单 击 “ 添 
加 ?按钮 ,然后 在 弹出 的 * 证 书 管理 单元 ”窗口 选中 * 我 的 用 户 账 户 ” 复 选 框 , 单 击 * 完 成 ”按钮 ， 
关闭 “添加 独立 管理 单元 "窗口 。 现 在 的 控制 台 根 节点 下 面 出 现 了 “证 书 ”, 依 次 打开 “受信 任 
的 根 证书 颁 发 机 构 ”>“ 证 书 ” 菜 单项 ,在 右 侧 窗 格 选 中 需要 备份 的 证 书 并 右 击 ,然后 选择 “ 打 
开 ” 选 项 ,选择 “详细 信息 ”选项 卡 , 单 击 “ 复 制 到 文件 ”按钮 ,选择 要 使 用 的 存储 格式 , 单 击 “ 下 
一 步 ?按钮 ,输入 导出 文件 名 (如 bsy. cer) , 单 击 “ 下 一 步 ”>“ 完 成 “确定” 按钮。 如 果 需 
要 备份 所 有 的 证 书 ,要 在 “控制 台 ” 窗 口中 选择 “文件 ”一 “保存” 选项 ,输入 保存 文件 名 (如 
bsy. msc) , 单 击 “ 保 存 ” 按 钮 即 可 。 图 A. 53 所 示 为 控制 台 mmc. exe 窗口 。 

(2) 恢复 数字 证 书 。 

方法 : 单 击 * 开 始 ” 一 “运行 ”按钮 ,执行 控制 台 程序 mmec. exe, 单 击 “ 文 件 ”>“ 打 开 ” 按 
钮 ,输入 打开 文件 名 (如 bsy. msc) , 单 击 展 开 *“ 证 书 ”>“ 当 前 用 户 ” 菜 单项 , 右 击 “受信 任 的 根 
证 书 颁发 机 构 ”, 选 择 “ 所 有 任务 ”>“ 导 入 ”选项 , 单 击 “ 下 一 步 ” 按 钮 ,输入 已 经 保存 的 证 书 文 
件 名 (如 bsy. cer) ,两 次 单 击 * 下 一 步 ?按钮 , 单 击 * 完 成 ”> 确定 ?按钮 ,完成 证 书 的 导入 。 

如 果 要 恢复 加 密 文 件 系统 证 书 , 也 可 以 打开 “控制 面板 ”, 单 击 “ 管 理工 具 ” 图 标 , 单 击 “ 本 
地 安全 策略 ”按钮 ,展开 “ 公 钥 策略 "菜单 项 , 右 击 “ 正 在 加 密 的 文件 系统 ”, 选 择 “ 添 加 数据 恢 
复 代理 ”来 启动 “故障 恢复 代理 向 导 ”, 选 择 作为 代理 的 用 户 或 该 用 户 的 具有 故障 恢复 证 书 的 
cer 文件 , 单 击 “ 确 定 ” 按 钮 即 可 。 
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图 A.53 控制 台 mmc. exe 窗口 


说 明 : 数字 证 书 内 容 很 多 ,做 实验 时 最 好 每 个 选项 都 试 着 做 一 下 ,以 便 对 证 书 的 概念 有 
深入 的 理解 。 

14) 设置 安全 模式 下 的 管理 员 密 码 

方法 : 重新 启动 计算 机 ,在 出 现 启 动 菜 单 时 按 F8 键 进入 高 级 选项 菜单 ,选择 “安全 模 
式 ” 启 动 进入 系统 , 单 击 * 控 制 面板 ~“ 用 户 账户 "按钮 ,检查 账户 中 是 否 包 括 管理 员 ,可 
以 将 管理 员 账 户 删除 ,或 者 重新 创建 一 个 管理 员 ,或 者 更 改 原 来 的 管理 员 账 户 与 密码 , 重 
新 启动 计算 机 。 

说 明 : 在 默认 情况 下 ,安全 模式 下 的 管理 员 密 码 为 空 , 其 他 用 户 仍 可 以 在 安全 模式 下 进 
入 系统 。 显 然 , 如 果 没 有 设置 安全 模式 下 的 管理 员 密 码 , 计 算 机 将 毫 无 私密 可 言 。 

15) IP 安全 策略 

(1) 设置 筛选 策略 。 

方法 : 打开 “控制 面板 "窗口 .双击 “管理 工具 ”一 “本 地 安全 策略 "菜单 项 ,选择 “IP 安全 
策略 ?选项 , 右 击 “管理 IP 筛选 器 列表 和 IP 筛选 器 操作 ”, 选 中 “管理 IP 筛选 器 列表 ”选项 
卡 , 单 击 “ 添 加 ”按钮 ,输入 筛选 规则 名 称 ( 如 ICMP_ANY_IN), 单 击 “ 下 一 步 " 按 钮 ,选择 源 
地 址 (如 “我 的 IP 地 址 ”) , 单 击 “ 下 一 步 ” 按 钮 ,选择 目标 地 址 (如 “任何 IP 地 址 ”) ,选择 协议 
类 型 (如 ICMP), 单 击 “ 完 成 ”按钮 。 

(2) 设置 筛选 操作 。 

方法 : 在 “本 地 安全 策略 ”中 选择 “IP 安全 策略 ”选项 ,选择 “管理 IP 筛选 器 操作 ”选项 
卡 , 单 击 “ 添 加 ”一 “下 一 步 ” 按 钮 ,然后 输入 筛选 操作 名 (如 “否认 ”), 单 击 “ 下 一 步 ” 按 钮 , 设 
置 第 选 器 操作 行为 (如 “阻止 ”), 单 击 “ 完 成 "按钮 。 图 A. 54 所 示 为 本 地 安全 策略 主 窗口 。 

(3) 设置 IP 安全 策略 名 。 

方法 : 打开 “控制 面板 ”, 双 击 “ 管 理工 具 ”>“ 本 地 安全 策略 "菜单 项 ,选择 “IP 安全 策略 ” 
选项 ,选择 “创建 IP 安全 策略 ”选项 , 单 击 “ 下 一 步 ” 按 钮 ,输入 安全 策略 的 名 称 ( 如 ICMP 过 
滤器 ), 单 击 “ 下 一 步 " 按 钮 ,取消 选中 “激活 默认 响应 规则 ” 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 。 在 创 
建 的 ICMP 过 滤器 上 双击 打开 属性 页 面 ,依次 单 击 “ 添 加 ”一 “下 一 步 ”>“ 下 一 步 ” 一 “下 一 
步 ">“ 下 一 步 ” 按 钮 ,选择 “是 ”按钮 ,然后 选择 IP 筛选 器 列表 名 (如 ICMP_ANY_IN), 单 击 


370 计算 机 信息 安全 技术 (第 2 版 ) 





“下 一 步 ? 按 钮 ,选择 筛选 器 操作 名 (如 * 和 否认 ”) , 单 击 “ 完 成 ”按钮 ,关闭 界面 。 


轩 本 地 安全 设置 








名 称 ， | 描述 | 
| 国 ICHP Filter 关闭 ICNP 
留 安全 服务 .. 。 对 所 有 ... 
加 客户 滑 《. . 。 正常 通 ... 
件 限制 策略 “| 图 服 务 器 《. . ， 对 所 有 ... 
策 隔 


加 


否 
否 
达 
内 








图 A.54 本 地 安全 策略 主 窗口 


(4) 指派 IP 安全 策略 。 

方法 : 选中 IP 安全 策略 名 (如 ICMP 过 滤器 ) 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 “所 有 
任务 ”指派 选项。 只 有 指派 后 ,IP 安全 策略 才 起 作用 。 

说 明 : 通过 IP 安全 筛选 器 可 以 定义 自己 的 IP 安全 策略 ,窗口 的 IP 安全 筛选 器 由 两 部 
分 组 成 , 即 筛选 策略 和 筛选 操作 。 筛 选 策略 (管理 IP 筛选 器 列表 ) 决 定 哪些 报 文 应 当 引 起 筛 
选 器 的 关注 ,筛选 操作 (管理 IP 筛选 器 操作 ) 决 定 筛选 器 是 “允许 ”还 是 “拒绝 ? 报 文 的 通过 。 
要 新 建 IP 安全 筛选 器 ,必须 新 建 自己 的 筛选 策略 和 筛选 操作 。 

16) 不 让 系统 显示 上 次 登录 的 用 户 名 

方法 : 打开 “控制 面板 ”, 双 击 “ 管 理工 具 ” 图 标 , 双 击 “ 本 地 安全 策略 "图标 ,分 别 展开 “本 
地 策略 ”>“ 安 全 选项 "菜单 项 ,在 右边 的 “策略 ”窗口 中 双击 “交互 式 登录 : 不 显示 上 次 用 户 
名 ”, 选 中 “已 启用 ” 复 选 框 , 单 击 “ 确 定 ” 按 钮 。 

说 明 : 在 默认 情况 下 ,窗口 登录 对 话 框 中 会 显示 上 次 登录 时 的 用 户 名 ,这 使 得 别人 可 以 
很 容易 了 解 到 系统 的 用 户 名 ,然后 就 可 以 直接 进行 密码 猜测 ,缩短 攻击 时 间 。 

17) 限制 LSA 信息 不 被 匿名 访问 

方法 : 打开 注册 表 编 辑 器 并 找到 注册 表 项 HKEY_LOCAL_MACHINE\SYSTEM\ 
CurrentControlSet\Control\LSA\RestrictAnonymous, 把 REG_DWORD 的 值 改 为 1。 

说 明 : LSA(Local Security Authority, 本 地 安全 机 构 ) 是 本 地 安全 颁发 机 构 , 它 的 功能 
是 负责 在 本 地 计算 机 上 处 理 用 户 登 录 与 身份 验证 。 因 此 ,应 该 限制 匿名 用 户 对 LSA 的 访问 。 

这 种 方法 还 可 以 禁用 IPC 连接 。IPC(Internet Process Connection) 可 以 实现 对 远程 计 
算 机 的 访问 ,任何 用 户 都 可 以 通过 空 连接 接 入 服务 器 上 ,进行 枚 举 账号 和 猜测 密码 。 

18) 限制 远程 访问 注册 表 

方法 : 打开 “控制 面板 ”窗口 ,双击 “管理 工具 ”>“ 本 地 安全 策略 "图标 ,展开 “本 地 策略 ”一 
“安全 选项 ”菜单 项 ,在 右边 “策略 "窗口 中 双击 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 ” ,将 可 
远程 访问 的 注册 表 路 径 和 子路 径 内 容 全 部 删除 , 单 击 “ 确 定 ” 按 钮 。 

说 明 : 将 远程 可 访问 的 注册 表 路 径 设置 为 空 ,这 样 可 以 有 效 防止 黑客 利用 扫描 器 通过 
远程 访问 注册 表 , 读 取 计 算 机 的 系统 信息 及 其 他 信息 。 

5. 实验 说 明 

本 实验 重点 在 于 对 Windows 各 项 安全 措施 的 理解 和 实践 ,学 生 可 以 尝试 对 每 个 功能 设 
置 都 做 一 遍 。 
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Dreamweaver CS3、Fireworks CS3 和 Flash CS3 是 Macromedia 公司 为 网 页 制作 人 员 研 制 的 新 一 代 网 页 设计 
软件 ,被 称 为 网 页 制作 “三 剑客 ”。 它 们 在 专业 网 页 制作 、 网 页 图 形 处 理 . 矢 量 动画 及 Web 编程 等 领域 中 占有 十 分 
重要 的 地 位 。 
本 书 共 11 章 , 从 基础 网 络 知识 出 发 ,从 网 站 规划 开始 ,重点 介绍 了 使 用 * 网 页 三 剑客 " 制 
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图 书 资源 支持 











感谢 您 一 直 以 来 对 清华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 素材 ,有 需求 的 用 户 请 到 清华 大 学 出 版 社 主页 (http://www. tup. 
com.cn) 上 查询 和 下 载 , 也 可 以 拨打 电话 或 发 送 电子 邮件 咨询 。 






























































如 果 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 





我 们 的 联系 方式 : 

地 ， 址 : 北京 海淀 区 双 清 路 学 研 大 厦 A 座 707 
邮 编 : 100084 

电 ” 话 : 010 一 62770175 一 4604 


资源 下 载 : http://www.tup. com. cn 





电子 邮件 : weij@tup.tsinghua. edu. cn Rs 


QQ: 883604( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 " 书 圈 ”。 


